人工智能时代前沿技术社区

首页 > 人工智能 > 热点

训练AI系统的新方法可以使它们免受黑客攻击

深度学习最大的未解决缺陷之一是它容易受到所谓的对抗攻击。

作者: | 2020-07-17 16:51:38

深度学习最大的未解决缺陷之一是它容易受到所谓的对抗攻击。将这些扰动添加到AI系统的输入中后,它们似乎是随机的或人眼无法察觉的,它们可能会使事情完全出错。例如,策略性地将贴纸放置在停车标志上,可能会诱骗自动驾驶汽车以每小时45英里的速度看到限速标志,而道路上的贴纸可能会使特斯拉转向错误的车道。

 1594976063749048.jpg

大多数对抗性研究都集中在图像识别系统上,但是基于深度学习的图像重建系统也很容易受到攻击。这在医疗保健中尤其令人不安,因为后者通常用于根据X射线数据重建医学图像,如CTMRI扫描。有针对性的对抗攻击可能会导致这种系统在没有肿瘤的扫描中重建肿瘤。

Bo Li(被评为今年35岁以下的MIT技术评论创新者之一)和她在伊利诺伊大学厄本那-香槟分校的同事现在正在提出一种新的方法来训练这种深度学习系统,使其更具故障预防能力,从而值得信赖在安全关键的情况下。他们以类似于GAN算法的样式将负责图像重建的神经网络与负责生成对抗性示例的另一个神经网络进行比较。通过反复的回合,对抗网络试图欺骗重建网络,以产生不属于原始数据或基本事实的东西。重建网络不断进行自我调整以避免被欺骗,从而使其在现实世界中的部署更加安全。

当研究人员在两个流行的图像数据集上测试了他们经过对抗训练的神经网络时,它能够比使用不同方法“防故障”的其他神经网络更好地重建地面真实性。结果仍然不尽人意,这表明该方法仍需改进。这项工作将在下周的国际机器学习大会上发表。