人工智慧遭遇可靠性危機，人類通過小伎倆就能欺騙人工智慧系統

人工智慧技術發展到今天，它已經可以準確地識別圖片中的對象和人類的語音，但是，它們目前使用的演算法與人類大腦的工作方式並不一樣——這意味著人類有可能藉助某些伎倆來欺騙人工智慧系統。

據《新科學家》報道，來自以色列巴伊蘭大學的研究人員和 Facebook 的人工智慧團隊已經表明，可以對音頻剪輯進行細微地調整，使語音識別系統理解出與音頻完全不同的內容，但是這些細微的調整並不會影響人類對音頻的正確理解。

實際上，這樣的情況並不僅限於語音識別，在圖像識別等領域同樣存在。在訓練人工智慧系統的過程中，在正常的輸入樣本中故意添加細微的干擾以誤導機器學習演算法，使人工智慧系統產生錯誤的結果，這種添加了細微的干擾以誤導機器學習模型的樣本，就是「對抗樣本」。

如果有人惡意使用對抗樣本，它可以用來欺騙自動駕駛汽車，使其不能識別道路上的停車標誌，進而引發事故；可以欺騙語言識別系統，讓系統聽到虛假的命令；可以將一隻貓識別成一條狗；可以將惡意軟體誤分類為良性軟體，也可以阻止閉路電視監控系統在人群中找出嫌犯。而由對抗樣本引發的欺騙策略也就是常說的「對抗性攻擊」。

雖然沒有證據表明對抗性攻擊已經被用於現實世界中，但是牛津大學的 Marta Kwiatkowska 說，這只是時間問題；機器學習可能會被用於攻擊系統。需要做出更多的研究去發明新的機器學習技術抵禦對抗性攻擊。

圖丨牛津大學 Marta Kwiatkowska教授

Cissé 發現，自動駕駛汽車中的圖片分類演算法可能會忽略行人和停放的車輛。他說：「我認為我們應該擔心我們如何確保汽車中使用的神經網路是安全的」。 Cissé 的團隊將少量的數字噪音引入到一個人的錄音片段，並將該錄音播放給谷歌語音（Google Voice）這款語音識別應用程序。在這個對抗性的示例中，該應用程序聽到了一個與事實完全不同的句子。

但是，並不是所有人都認為對抗性攻擊將會在現實世界中發揮作用。伊利諾伊大學香檳分校的大衛·福塞斯（David Forsyth）建立了一個經數字化改變的虛假的停車標誌試圖欺騙這種演算法。

他發現，通過移動相機，使其從不同的角度觀察停車標誌這並沒有欺騙演算法。對抗樣本可能會在很完美的假設條件下工作，但是現實世界中的光照和觀察視角可能會使對抗樣本並不那麼成功。對抗攻擊可能比我們想象的更困難。

或許最有趣的是，找到一種避免人工智慧系統被對抗樣本欺騙的方法是相當困難的。正如我們過去解釋的那樣，我們並不理解深度神經網路的內在工作方式，這也意味著，我們並不知道為什麼神經網路能夠接受聲音片段和圖像中的細微特徵，而人類卻不能覺察到。