研究
新的研究表明,即使是旨在混淆計算機視覺系統的數字圖像的微妙變化也可能影響人類的看法
計算機和人類以不同的方式看待世界。我們的生物系統和機器中的人造系統可能並不總是關注相同的視覺信號。受過訓練的圖像進行分類的神經網絡可以通過微妙的擾動完全誤導到人類甚至不會注意到的圖像。
這樣的對抗圖像可以欺騙AI系統,這可能表明人類和機器感知之間的基本差異,但它促使我們探索人類是否也可能在受控的測試條件下 – 對同一擾動的敏感性。在自然傳播中發表的一系列實驗中,我們發現證據表明人類判斷確實受到對抗性擾動的系統影響。
我們的發現突出了人類和機器視覺之間的相似之處,但也表明需要進一步研究以了解對抗性圖像對人以及AI系統的影響。
什麼是對抗圖像?
對抗圖像是通過使AI模型自信地錯誤分類圖像內容的過程巧妙地改變的。這種有意的欺騙被稱為對抗性攻擊。例如,攻擊可以引起AI模型將花瓶分類為CAT,也可以將其設計為使模型看到除了花瓶以外的任何內容。
左:人工神經網絡(ANN)正確地將圖像分類為花瓶,但是當整個圖像中看似隨機的模式(中間)擾動時,強度放大了用於說明的目的- 結果圖像(右)是錯誤的,並且是錯誤的,並且自信地將錯誤分類為貓。
這種攻擊可能是微妙的。在數字圖像中,RGB圖像中的每個單個像素的標準為0-255,代表單個像素的強度。即使沒有像素在該量表上不超過2個級別調製,對抗性攻擊也可以有效。
對現實世界中物理對象的對抗性攻擊也可以成功,例如導致停車標誌被誤認為是速度限制標誌。確實,安全問題導致研究人員研究了抵制對抗性攻擊並減輕風險的方法。
人類的看法如何受到對抗例子的影響?
先前的研究表明,人們可能對提供清晰的形狀提示的大型圖像擾動敏感。但是,關於更細微的對抗性攻擊的效果的理解較少。人們是將圖像中的擾動視為無害的,隨機的圖像噪聲,還是會影響人類的看法?
為了找出答案,我們進行了受控的行為實驗。首先,我們拍攝了一系列原始圖像,並對每個圖像進行了兩次對抗攻擊,以產生許多擾動的圖像。在下面的動畫示例中,原始圖像被模型歸類為“花瓶”。然後,由於對抗性目標“ CAT”和“ Truck”,該模型通過對原始圖像的對抗攻擊而擾動的兩個圖像被模型分類。
接下來,我們向人類參與者展示了一對圖片,並提出了一個有針對性的問題:“哪個圖像更像貓?”雖然這兩個圖像看起來都像貓一樣,但他們不得不做出選擇,通常報告說自己是任意選擇的感覺。如果大腦激活對微妙的對抗性攻擊不敏感,我們希望人們平均選擇每張照片50%的時間。但是,我們發現選擇率(我們稱為感知偏見)可靠地超過了各種各樣的擾動圖片對的機會,即使在該0-255尺度上沒有超過2個級別調整了超過2個級別。
從參與者的角度來看,感覺他們被要求區分兩個實際上相同的圖像。然而,科學文獻充滿了證據,表明人們在做出選擇時利用弱的感知信號,對於他們表達信心或意識而言太弱的信號)。在我們的示例中,我們可能會看到一個花瓶,但是大腦中的某些活動告訴我們,貓的暗示。
左:成對的對抗圖像的示例。頂部的圖像以2個像素水平的最大幅度巧妙地擾動,以導致神經網絡分別將它們錯誤地分類為“卡車”和“ CAT”。人類誌願者被問到“哪個更像貓?”較低的圖像更明顯地被操縱,最大幅度為16像素水平,被錯誤分類為“椅子”和“綿羊”。這次的問題是“哪個更像綿羊?”
我們進行了一系列實驗,這些實驗排除了我們自然通信論文現象的潛在人為解釋。在每個實驗中,參與者可靠地選擇了與目標問題相對應的對抗圖像,超過一半的時間。儘管人類的視力不像機器視覺那樣容易受到對抗的擾動(機器不再識別原始圖像類,但人們仍然清楚地看到它),但我們的工作表明,這些擾動仍然可以使人類偏向於機器做出的決定。
人工智能安全和保障研究的重要性
我們的主要發現,即通過對抗性圖像會影響人類感知,但巧妙地影響了對AI安全和安全研究的關鍵問題,但是通過使用正式的實驗來探索AI視覺系統和人類感知行為的相似性和差異,我們可以利用洞察力來構建更安全的AI系統。
例如,我們的發現可以通過更好地使其與人類的視覺表示形式保持一致,從而為未來的研究提供信息,以提高計算機視覺模型的魯棒性。測量人類對對抗性擾動的敏感性可以幫助判斷各種計算機視覺體系結構的對齊方式。
我們的工作還表明了進一步研究的必要性,不僅了解機器對機器,而且對人類的更廣泛影響。反過來,這突出了認知科學和神經科學的持續重要性,以更好地了解AI系統及其潛在影響,因為我們專注於建立更安全,更安全的系統。
