Die ersten konkurrenzfähigen 3D-Beispiele, um neuronale Netzwerke zu täuschen


    Eine auf einem 3D-Drucker gedruckte Schildkröte wird von einem neuronalen Netzwerk als eine Schildkröte (grüner Umriss), ein Gewehr (roter Umriss) oder ein anderes Objekt (schwarzer Umriss) erkannt.

    Es ist seit langem bekannt, dass kleine gezielte Änderungen im Bild das maschinelle Lernsystem "brechen", so dass es ein völlig anderes System darstellt Bild . Solche "trojanischen" Bilder werden als "gegnerische Beispiele" (gegnerische Beispiele) bezeichnet und sind eine der bekannten Einschränkungen des Tiefenlernens .

    Sie funktionieren einfach: Sie müssen einen Steigungsanstieg im Eingabedatenbereich vornehmen, um Muster zu erzeugen, die die Klassenvorhersage für eine bestimmte Klasse maximieren. Wenn Sie beispielsweise ein Foto von einem Panda machen und einen Gibbon-Verlauf hinzufügen, zwingen wir das neuronale Netzwerk, diesen Panda als Gibbon zu klassifizieren. Die Schildkröte kann als Gewehr ausgestellt werden (siehe Abbildung oben). Die Katze verwandelt sich in einen kalten Guacamole-Snack (siehe unter dem Schnitt) - es spielt keine Rolle. In den Augen der maschinellen Intelligenz verwandelt sich jedes Objekt in ein anderes Objekt, denn die KI verfügt über ein besonderes "Vision" -System, das sich vom menschlichen unterscheidet.

    Bislang funktionierte eine solche Feinabstimmung des Gradienten nur bei 2D-Bildern und war sehr empfindlich gegenüber Verzerrungen.


    Das Foto einer Katze wird im Inception V3- Klassifikator als Guacamole erkannt:

    Betrachten Sie die Katze aus einem anderen Blickwinkel oder aus einer anderen Entfernung - und das neuronale Netzwerk sieht die Katze bereits wieder darin und keinen kalten Snack.


    Ein Foto einer Katze wird im InceptionV3- Klassifikator wieder als Katze erkannt, wenn Sie sie ein wenig drehen, dh

    in der Realität sind solche Wettbewerbsbeispiele aufgrund von Zoom, Digitalkamera-Rauschen und anderen Verzerrungen, die in der Realität unvermeidlich auftreten, nicht effektiv. Dies ist inakzeptabel, wenn Computer-Vision-Systeme zuverlässig und zuverlässig offline getäuscht werden sollen.. Nun besteht jedoch die Hoffnung, dass die Menschen diese Aufgabe erledigen können. Forscher des Massachusetts Institute of Technology und der unabhängigen Forschungsgruppe LabSix (bestehend aus Studenten und Alumni des MIT) haben den weltweit ersten Algorithmus entwickelt, der kontroverse Beispiele in 3D generiert . Das Video unten zeigt beispielsweise einen Fehler, der vom Google InceptionV3-Klassifizierer in fast jedem Winkel als Gewehr erkannt wird.



    Der Algorithmus kann nicht nur Schildkröten, sondern auch beliebige Modelle generieren. Für die Probe druckten die Forscher außerdem einen Baseball, der aus jedem Winkel als Espresso (Kaffee) klassifiziert ist, und erstellte eine Vielzahl anderer Modelle - eine Art optische Täuschung für die KI.

    Die Täuschung der Bildverarbeitung funktioniert auch dann, wenn sich das Objekt auf dem Foto in einem semantisch irrelevanten Kontext befindet. Offensichtlich konnte das neuronale Netzwerk während des Trainings weder ein Gewehr unter Wasser noch einen Espresso in einem Fängerhandschuh sehen.


    Wettbewerbsbeispiele in 3D: Eine Schildkröte, die wie ein Gewehr für ein neuronales InceptionV3-Netzwerk aussieht, und einen Baseball, der wie ein Espresso aussieht,

    obwohl die Methode für ein bestimmtes neuronales Netzwerk „geschärft“ ist, jedoch in Kommentaren zu früheren wissenschaftlichen Artikeln zu diesem Themawies auf die Bemerkung der Forscher hin, dass der Angriff höchstwahrscheinlich viele Modelle betreffen wird, die mit diesem bestimmten Datensatz trainiert werden - einschließlich unterschiedlicher Architekturen von Faltungsnetzwerken und sogar linearen Klassifizierern. Damit ein Angriff ausreichend ist, reicht eine Hypothese aus, anhand welcher Daten das Modell hätte trainiert werden können.

    "Konkret bedeutet dies, dass es wahrscheinlich ist, dass ein Straßenschild zum Verkauf des Hauses erstellt werden kann, was für menschliche Fahrer ganz normal erscheint. Für ein unbemanntes Fahrzeug erscheint es wie ein Fußgänger, der plötzlich auf dem Bürgersteig auftaucht", so die wissenschaftliche Arbeit. "Umstrittene Beispiele sind von praktischem Interesse, die in Betracht gezogen werden müssen, wenn neuronale Netzwerke häufiger (und gefährlicher) werden."

    Um sich vor solchen Angriffen zu schützen, können zukünftige KI-Entwickler geheime Informationen über die Architektur ihrer neuronalen Netzwerke und vor allem über den Datensatz, der in der Ausbildung verwendet wurde, aufbewahren.

    Wissenschaftliche Artikel veröffentlicht 30. Oktober 2017 auf der Website arXiv.org Preprint (arXiv: 1707.07397v2).

    Jetzt auch beliebt: