Robust Adversarial Examples_魯棒的對抗樣本

https://blog.openai.com/robust-adversarial-inputs/?spm=a2c4e.11153940.blogcont149583.11.4ab360c0mXrtX7

原文中包含視頻例子。

咱們建立的圖像能夠在從不一樣的尺度和視角觀察時可靠地欺騙神經網絡分類器。 這挑戰了上週聲稱自動駕駛汽車難以惡意欺騙，由於它們從多個尺度，角度，視角等捕獲圖像。

這張印刷在標準彩色打印機上的小貓照片讓分類器誤覺得它是一臺「顯示器」或「臺式電腦」，不管它是如何縮放或旋轉的。 咱們指望進一步的參數調整也會刪除任何人類可見的僞像。

參照論文1.Synthesizing Robust Adversarial Examples

開箱即用的對抗樣本在圖像轉換下失敗。 下面，咱們展現了相同的貓圖片，由ImageNet上訓練的Inception v3錯誤地歸類爲臺式計算機。 縮小至1.002會致使正確標籤「tabby cat」虎斑貓的分類機率覆蓋對抗性標籤「desktop computer」臺式計算機。

 

 

然而，咱們懷疑積極的努力能夠產生一個強大的對抗性的例子，由於已經證實對抗性的例子轉移到物理世界。（參照論文4.Adversarial examples in the physical world）

尺度不變的對抗樣本

可使用稱爲投影梯度降低（projected gradient descent ）的優化方法來建立對抗性示例，以找到任意欺騙分類器的圖像的小擾動。

咱們優化了大量隨機分類器，而不是優化用於從單個視點查找對抗性的輸入，這些隨機分類器在對輸入進行分類以前隨機從新縮放輸入。 針對這樣的集合進行優化會產生強大的對稱示例，這些示例是規模不變的。

 

即便咱們僅修改與貓相對應的像素，咱們也能夠建立一個在全部所需尺度上同時具備對抗性的單個擾動圖像。

轉換不變的對抗性例子

經過向咱們的訓練擾動添加隨機旋轉，平移，縮放，噪聲和平均移位，相同的技術產生單個輸入，在任何這些變換下仍然是對抗的。

 

一個變換不變的對抗樣本。 請注意，它明顯比其規模不變的變體更加穩定。 這多是基本的：直覺上可能的是，小的對抗性擾動更難找到一個不容改變樣本的更多變換。

咱們的變換在測試時隨機抽樣，證實咱們的例子對整個變換分佈是不變的。