美團隊 3D 列印出的這隻玩具烏龜,對 Google AI 來說怎麼看都是把步槍

(圖片來源:Labsix)
(圖片來源:Labsix)

從自駕車到智慧監控系統,社會正在慢慢學習如何相信人工智慧(AI)。不會感到疲倦、總能保持警覺的機器視覺系統可說是保障人們安全的最佳幫手,但它們真的夠可靠嗎?

麻省理工(MIT)研究團隊 Labsix 最近進行的一項研究認為,從目前看來,機器視覺距離可靠還有很長一段距離得走。

許多人都曾在網路看過會導致錯視效果的圖片,圓圈自主性的轉動、黑點跳來跳去、看似長度不同的線條卻一樣長,這類型的圖片會運用顏色、光暗令人眼產生視覺錯覺,但對電腦並不會有相同的效果。

雖然可能難以想像,但對電腦來說,其實也有會導致「錯覺」的圖片。研究人員將這類型機器視覺誤判的圖片稱之為「對抗式影像」(adversarial image)。

影片中是 Labsix 運用 3D 列印製造出來的一隻玩具烏龜。從人的角度來看,相信應該怎麼看都是一隻烏龜,但對 Google 長期訓練辨識日常物品的 AI 來說,這不是一隻烏龜,而是一把步槍。

這個玩具烏龜正是對抗式影像的一個例子。隨著人工智慧發展,人們設計出一種方式來欺騙機器視覺,讓 AI 系統無法像人類一般判讀圖片的正確內容。

你只需要在圖片加入一點誤導演算法的對抗模式,或是近乎透明的塗層,對常人看來是熊貓的圖片,AI 看來可能就變成一台小貨車。

隨著 AI 技術持續發展,防範類似對抗式攻擊的研究也在持續進行,許多研究認為,雖然這些攻擊對 AI 非常有效,但它們並不太完美。在過去,你只需要稍微旋轉、放大對抗式圖片,電腦視覺就能擺脫錯覺,正確辨識圖片。

但 Labsix 這隻 3D 列印的玩具烏龜卻帶來一個重要的隱憂:這些對抗式攻擊運用 3D 物體也能起作用,而且無論從哪個角度看,牠都能欺騙電腦視覺。

(圖片來源:Labsix)
(圖片來源:Labsix)

除了製造出一隻 AI 會誤認為步槍的烏龜,Labsix 還製造了一個會被看作是濃縮咖啡的棒球。Labsix 認為,隨著神經網路(neural networks)的應用普遍化,對抗式攻擊的問題會越來越實際,因為這些攻擊將導致危險。

「具體來說,這意味著人們可建造一個路邊標誌,人類司機看來完全正常,但對自駕車來說可能是突然看到一個行人出現在街旁。」

這些對抗式攻擊測試主要是在 Google 開發的圖片分類器 Inception-v3 進行,Google 似乎打算在未來讓這款分類器商業化,但目前來說所有研究人員都可以免費使用。

雖然 Labsix 還未測試其他機器視覺軟體,但根據了解,目前還沒有軟體提出針對類似「對抗式影像」的改善及解決辦法。

Google 對這項研究並沒有提出評論,但發言人向 The Verge 透露,他們認為 Labsix 的結論有些錯誤。

首先,Labsix 的結論談到 3D 對抗式攻擊從各個角度皆能誤導 AI,但從 Labsix 自己公布的影片看來,頂多能說是大多數,而非所有角度。

其次,要做到誤導 AI 視覺,Labsix 必須先接觸到機器視覺演算法,才能發現弱點並加以利用,對那些想欺騙自駕車搭載的商業視覺系統的人來說,這會是一個非常大的障礙。

雖然是否對自駕車造成危險還有些爭議,但在其他應用,AI 視覺也證實會被類似的對抗性攻擊誤導,Labsix 團隊打算未來持續針對這個問題深入研究。

▲ 過去對抗式攻擊只需要微調圖片,就能讓機器視覺擺脫錯覺。(圖片來源:Labsix)
▲ 過去對抗式攻擊只需要微調圖片,就能讓機器視覺擺脫錯覺。(圖片來源:Labsix)

從目前情況來說,對抗性攻擊有效,但僅限於有限的情況下,所以對大眾來說還不具非常大的危險。

但隨著 AI 和機器視覺在生活中更普遍應用,這些「有限」的範圍也會隨之擴大,如果不找出方法解決,類似的 AI 系統弱點可能會成為生活中的新隱憂。

Google’s AI thinks this turtle looks like a gun, which is a problem
Fooling Neural Networks in the Physical World with 3D Adversarial Objects