人工智能受愚弄後也會犯「低級錯誤」

(圖片來源:Getty Images) Image copyright Getty Images

2022年。你乘坐一輛自動駕駛的汽車像往常一樣在城市裏穿行。 這時車來到了一個路口停止標誌前,此前它已經順利的經過了這裏上百次,但這一次,它卻沒有停下車來而直接開過去了。

對你來說,這個停止標誌看起來和其他的一模一樣。 但是對於這輛車來說,這是完全不同的東西。無論你還是機器都不知道,就在幾分鐘前,一個騙子在這個交通標誌上貼了一張小貼紙:它對人眼豪不明顯,但卻逃不脫技術的火眼真睛。

換一種說法?交通標誌上的小貼紙足以讓這輛汽車認為它"看到"的不是停止標誌。

這聽起來可能令人難以置信。但是越來越多的研究證明,人工智能或多或少地都會被愚弄,它看到的東西和人類看到的完全不同。隨著機器學習算法日漸增多地進入我們的運輸,財務和健康醫療系統,計算機科學家希望能更多地學習如何保護機器免受它們"對手的"攻擊,在有人試圖欺騙它們並取得成功之前。

Image copyright Getty Images
Image caption 從自動駕駛汽車到能自動啟用的家用電器,人工智能和我們的日常生活正變得日益不可分割(圖片來源:Getty Images)

"這個問題在機器學習和AI社群正受到越來越多的關注,因為這些算法正被越來越多地使用,"俄勒岡大學(University of Oregon)計算機和信息科學系助理教授丹尼爾·洛德(Daniel Lowd)說。"如果垃圾郵件被放行或一些郵件被攔截,這不是世界末日。 但另一方面,如果你依靠一輛自動駕駛汽車的視覺系統來指揮去哪裏,並且不要碰撞到任何東西,這個後果卻要嚴重的多。"

不論一台智能機器是否出了故障或被黑客入侵,機器學習算法"看待"這個世界的方式都會產生很大的差異。 比如這樣的話,一隻熊貓在它看起來像是一隻長臂猿,或者一輛校車可以被當做是一隻鴕鳥。

在一個實驗中,來自法國和瑞士的研究人員展示了,這種干擾怎樣致使計算機誤將松鼠認為是灰色狐狸,或咖啡壺為金剛鸚鵡。

這是怎麼發生的呢?讓我們回憶一下一個孩子學習認識數字的過程。當他們依次看到每一個數字時,她開始接受一些常見的特徵:1是高大而細長的,6和9包含一個圈,而8有兩個圈等等。一旦他們看到足夠多的例子,他們就可以快速識別的數字為4或8或3,即使因為字型或手寫的緣故,它不像他們之前看到過的任何其他4或8或3。

機器學習算法通過一個類似的過程學習認知世界。科學家們會為計算機提供數百或數千次(通常標注的)試驗,讓計算機檢測看到的是什麼。當機器讀取數據 : 這是一個數字,這不是一個數字,這是一個數字,這不是一個數字。它開始接收能給出答案的特徵的過程。很快它就可以看到一張照片然後高度凖確地宣稱:"這是一個5!"

以這種方式,孩子們和電腦以十分相似方法的學習識別一系列海量的事物,從數字到貓到船到單獨的人臉。

但是,計算機沒法像孩子一樣注意到高級別的細節,如貓的毛茸茸的耳朵或數字4獨特的角度形狀。它不能顧及整個畫面。

相反,它可能會查看圖片獨特的像素點,並以最快的方式將目標分類。如果數字1的絶大多數在一些特定的位置是黑色像素,並且在另一些特定位置是白色像素,則在僅檢查少數像素之後,機器就可以進行調用程序,進行判斷。

現在,再次回到這個停車標誌。隨著對圖像像素一次細微的調整,或者專家稱之為"干擾",計算機愚蠢的認為,這個停車標誌不再是停車標誌。

懷俄明大學(University of Wyoming)和康奈爾大學(Cornell University)的人工智能實驗室也進行了類似的研究,證實了人工智能光怪陸離的想像力。 這些具有抽像圖案和顏色的令人迷幻的圖像對人類來說看起來沒什麼大不了的,但卻被計算機快速識別為蛇或步槍。這些表明人工智能有能把一些毫不相關的事物認為是該事物的缺陷。

這是一種在所有類型的機器學習算法中常見的缺陷。"人們會期待每一種算法都是萬能的,"範德比爾特大學(Vanderbilt University)計算機科學和計算機工程系助理教授葉夫根尼·沃羅比奇克(Yevgeniy Vorobeychik)說。 "但我們生活在一個非常複雜的多維世界中,每種算法本質上只關注在相對較小的一部分。"

沃羅比奇克"非常相信",如果存在這些漏洞,有人就會弄清楚如何利用它們。 有人可能已經這麼做了。

比如說那些通過程序自動消除任何看上去不靠譜電子郵件的垃圾郵件過濾系統。垃圾郵件發送者可以通過調整單詞的拼寫(Viagra改為Vi @ gra)或通過在正常電子郵件中通常添加一個"好的單詞"列表來嘗試越過防火牆:根據一種算法,"樂意的","我"或"是的"。 同時,垃圾郵件發送者可能會試圖隱藏經常出現在垃圾郵件中的單詞,如"聲明"或"移動"或"贏"。

這是否可能會讓騙子成功?自動駕駛汽車被一個停車標誌上的貼紙欺騙是這個領域的專家提出的一個經典的場景。對抗性數據可能有助於將色情內容通過安全內容過濾器。其他人可能會嘗試增加支票上的數字。或者黑客可以調整惡意軟件的代碼,足以不被察覺的通過數字安全系統。

如果麻煩製造者擁有他們想要去欺騙的機器學習算法的副本,他們就可以弄清楚如何創建對抗數據。 但是,這並不需要偷偷摸摸的通過算法的大門。 他們可以簡單地強制性的發起攻擊,投送稍微改變形式的電子郵件或圖像,或者其它能夠通過防火牆的任何東西。 隨著時間的推移,這甚至可以用來產生一個新的模型,這個模型學習好人正在尋找什麼,以及如何產生愚弄他們的數據。

Image copyright Getty Images
Image caption 自動駕駛車輛和外科手術機器人處理的事務人命關天,所以它們幾乎沒有範錯誤的餘地(圖片來源:Getty Images)

"人們自從首次引入機器學習系統以來就一直在操縱機器學習系統,"賓夕法尼亞州立大學(Pennsylvania State University)計算機科學和工程系教授帕特里克·麥克丹尼爾(Patrick McDaniel)說。"如果人們用這些技術使壞,我們可能不知道。"

欺騙者可能不是唯一一個利用這大好時機的人。人們可以利用對抗方法來避免現代技術的無處不在,保護個人隱私。

洛德說:"如果你是一個獨裁政權中的政治異議人士,而且你想在不被當做監控目標的情況下進行活動,那麼基於機器學習的躲避自動化監控的技術將是一個積極正面的應用。

在10月公開的一個項目中,卡內基梅隆大學的研究人員構建了一副眼鏡,可以巧妙地誤導面部識別系統,使計算機將女演員瑞茜·威瑟斯朋(Reese Witherspoon)當做羅素·克勞(Russell Crowe)。 這聽起來很有趣,但是這樣的技術對於那些想躲避掌權者的審查的人來說是有用的。

在此期間,算法要做的是什麼?"避免這種情況的唯一方法就是擁有一個完美的模型,這個模型在所有時間都是正確的,"洛德說。即使我們可以建立比人類更好的人工智能,世界仍然會包含不確定的情況,正確的答案在哪裏,這並不明顯。

機器學習算法通常通過它們的凖確性評級。一個99%的凖確率的程序明顯好於60%的程序。但是有一些專家現在認為評價指標還應該包括算法如何應對攻擊的能力:越難攻擊,性能越高。

對於專家來說,另一種解決方案可能是測試程序的性能。在實驗室中,像犯罪者可能做的事情那樣建立自己的攻擊試驗,然後將其顯示給機器學習算法。 這可以幫助它隨著時間的推移變得更有適應力 - 當然,這是在測試的攻擊與在現實世界中嘗試的攻擊類型相匹配的情況下。

麥克丹尼爾建議我們如果可能,考慮將人類置於循環中,這樣可以提供一些外部驗證介入功能,確保算法的猜測是正確的。 一些"智能助手",像臉書的M,讓人們重覆檢查並弄清楚他們的答案;其他人則認為,人工檢查可能對敏感的應用程序有用,例如法院的判決。

"機器學習系統是推理的工具。在我們給予他們什麼和他們告訴我們什麼方面,我們需要變得聰明和理智,"他說。"我們不應該把它們當成真理的化身。"

請訪問 BBC Future 閲讀 英文原文

更多有關此項報導的內容