安妮 编译自 OpenAI官方博客
量子位出品 | 公众号 QbitAI

上周，arXiv上的论文《NO Need to Worry about AdversarialExamples in Object Detection in Autonomous Vehicles》引起了广泛讨论。作者Jiajun Lu等4人在论文中表示，自动驾驶汽车的检测系统可能很难被抗样本干扰，因为它们捕捉到的图像是多尺度、多角度和多视角的。

论文地址：

https://arxiv.org/abs/1707.03501

如果你还不了解对抗样本，可以阅读量子位的两篇旧文：

想骗过人脸识别？一块钱就够了（附送几组骗AI的方法+论文）

可能对上述说法有些不服，昨天，OpenAI在官方博客中怒怼这个观点。量子位将OpenAI的“辩词”编译整理，与大家分享。

上面这只小猫用标准彩打机打印出后，无论将它怎么样缩放及旋转，仍会被分类器判定为显示屏或台式机。

OpenAI希望通过进一步参数调试，去掉任何人眼可见的人工修饰痕迹——

开箱即用的对抗样本在图像转换中确实不顶用了。

我们对上面这张猫咪图片做了一些小的改动，现在直接用ImageNet训练的Inception v3来分类，会被识别成台式电脑。但只要把它放大1.002倍，分类器将更可能将图片划分到正确标签tabby_cat（虎斑猫）——这就是一种不稳固的对抗样本。

https://v.qq.com/txp/iframe/player.html?vid=z1321sgq7gb&width=500&height=375&auto=0

然而，我们想通过积极的尝试来找到稳固的对抗样本。因为已经有研究证明，物理世界中也有对抗样本。

《物理世界中的对抗样本》论文链接：

https://arxiv.org/pdf/1607.02533.pdf

尺度不变的对抗样本

通过投影梯度下降(Projected gradient descent)算法，可以找到能够欺骗分类器的微小扰动，我们可以通过这种优化方法来创建对抗样本。

我们不是为了找到从某个角度能够形成“对抗”的点来优化，而是面向一整套随机分类器，它们会在对输入进行分类前，随机调整它的尺寸。

这样优化，我们能够得到缩放不变（Scale-invariant adversarial examples)的，稳固的对抗样本。

https://v.qq.com/txp/iframe/player.html?vid=w1321dg32s7&width=500&height=375&auto=0
△ 一个尺度不变对抗样本

即使我们只修正与猫咪对应的像素，也同样可以创造出一张无论怎样缩放都能呈现“对抗”的扰动图像。

转换不变的对抗样本

通过对训练扰动进行随机旋转、转换、缩放、噪声和平移，我们可以用同样的方法，生成无论怎样转换都呈现“对抗”的输入。

https://v.qq.com/txp/iframe/player.html?vid=g1321064pup&width=500&height=375&auto=0

以上是一个转换不变对抗样本(transformation-invariant adversarial example)。需要注意的是，这个样本明显比它的尺度不变样本的扰动更大。这也不难理解，直观上说，在转换不变的样本上，小对抗扰动更难察觉。

最后声明一下，测试时我们对转换进行了随机抽样，以此证明我们的示例对整个转换的分布是不变的。

【完】

交流沟通

量子位读者6群开启，对人工智能感兴趣的朋友，欢迎加量子位小助手的微信qbitbot2，申请入群，一起探讨AI。

想要更深一步的交流？

量子位还有大咖云集的自动驾驶技术群和NLP群，仅接纳相应领域的在校学生或一线工程师。申请方式：加qbitbot2为好友，备注“自动驾驶”或“NLP”申请加入~

（审核较严，敬请谅解）

诚挚招聘

量子位正在招募编辑/记者等岗位，工作地点在北京中关村。期待有才气、有热情的同学加入我们！相关细节，请在量子位公众号(QbitAI)对话界面，回复“招聘”两个字。