AI被一件T恤蒙蔽“双眼” 见识不够是根本原因

　　AI被一件T恤蒙蔽“双眼” 见识不够是根本原因

　　本报记者 谢开飞

　　通 讯 员 许晓凤 王忆希

　　只要穿上一件印有特殊图案的T恤，就能骗过AI人体检测系统，从而达到“隐身”效果？  

　　近日，这一场景真实上演。美国东北大学和麻省理工学院等研究机构，共同设计了基于对抗样本技术的T恤。据研究人员介绍，这是全球首个在非刚性物体（如T恤）上，进行的物理对抗性实验。AI人体检测摄像头无法准确地检测出穿着该T恤的行人，无论衣服发生怎样的褶皱或变形，都能达到“隐身”效果。

　　这件能让人在AI人体检测系统下“隐身”的T恤，其背后的原理是什么？这种缺陷会不会导致安全问题，要如何解决？科技日报记者就此采访了有关专家。

　　特殊图案便能骗过AI的“眼睛”

　　在本次实验中，一位穿着白T恤的男性和一位穿着黑T恤的女性从远处走来，在AI人体识别摄像头下，只能看到穿黑T恤女性的身影。

　　这是如何做到的？原来研究人员使用了一种被称为对抗攻击的方法来欺骗AI。仔细观察，白T恤上印有不同的色块，这些色块在人眼看来与普通图案无异，但对于机器来说，却会造成一定干扰。

　　中国科学院自动化研究所王金桥研究员解释说，科研人员对原T恤上的图案进行修改，通过技术手段生成具有较强干扰性的图案替换原有图案，改变了T恤原有的视觉外观，使得AI模型对数据标签的预测发生混淆和错误，从而到达攻击的目的。

　　“攻击者通过构造微不足道的扰动来干扰源数据，可以使得基于深度神经网络的人工智能算法输出攻击者想要的任何错误结果。而这类被干扰之后的输入样本被称之为对抗样本。”王金桥说。

　　对抗样本在实际中主要用来检验一些安全系数较高的系统，通过对抗的方式来提高AI模型的安全性，抵御可能面临的安全风险。比如刷脸支付，它必须具有一定的抗攻击能力，以便避免灾难性的后果，比如不能让攻击者简单地利用照片或者定向修改原输入就能破解用户支付系统。

　　有实验表明，对于一个正确分类的熊猫图像，在加入特定对抗样本的干扰之后，人眼看到的仍然是熊猫，但是AI图像识别模型却将其分类为长臂猿，且置信度高达99%。

　　不过，将对抗性图案印在衣服上这种欺骗AI的方式有一个缺陷，只要图案的角度和形状发生变化，就会轻易被识破。过去在设计对抗样本时，通常采用一些简单的变换，比如缩放、平移、旋转、亮度、对比度调整以及添加自适应的噪声等。

　　王金桥解释说，这些简单的变换，在产生静态目标的对抗样本时往往比较有效，但是针对行人这种非刚体的动态目标则容易失效。动态目标由于运动以及姿态变化，将导致这些简单变换发生较大的改变，从而使得对抗样本丧失原有的性质。

　　“相比过去设计的对抗样本，本次攻击的成功率更高。”福州大学数学与计算机科学学院、福建新媒体行业技术开发基地副主任柯逍博士指出，为应对人体移动造成的T恤形变，科研人员采用“薄板样条插值”的方法来建模行人可能发生的各种形变。同时，在训练阶段使用T恤上棋盘图案的格子来学习形变控制点位置变化关系，使得产生的对抗样本更加真实，对人体形变的贴合度更高。

　　AI视觉系统受到多方因素干扰

　　除了对抗攻击之外，在实际应用中的很多环境因素和人为因素，都可能导致AI人体检测出现失误。

　　如在自动驾驶场景下，由于天气条件恶劣（如大雪、大雾等）或者光线及路况复杂，导致前方人员成像模糊等，会极大影响前方目标检测性能。在监控场景下，可疑人员可能通过衣物、雨伞等的遮挡来干扰人工智能算法。

　　“排除本身紧急制动功能问题，具备行人检测功能的汽车也存在着无法及时、准确地检测出小目标人体等问题。”柯逍举例说，美国汽车协会曾对具备行人检测功能的多个品牌车辆做过一个测试，测试中用到的被撞目标包括成人假人与儿童假人。当车前出现儿童或汽车时速达到48千米时，仅一个品牌有一定概率检测出行人，其余3家品牌在两个场景下均未检测到行人。

　　为何在AI视觉识别技术下的目标检测模型如此脆弱？“在人类眼中，轻微的图像干扰并不会影响最终的判断，但对于AI模型来说却不是如此。”柯逍举例说，有相关实验表明，一个测

　　试表现良好的图像检测与识别分类器，并没有像人类一样学习与理解目标图像真正底层的信息，而只是在训练样本上构建了一个表现良好的机器学习模型。