在玛丽·雪莱的梦幻中,人类被自己的智能创造物毁灭。现在,谷歌的研究揭示了另一种可能性:当神经网络被劫持,它将执行敌方的任务,从而反过来对付我们。

谷歌大脑的研究人员在一篇题为《神经网络的对抗重组》的论文中,描述了这种可能性,比如:一个恶意的参与者获得了一个对抗神经网络的参数,这个神经网络正在执行一个任务,然后以转换输入图像的形式引入干扰或对抗数据。当敌对的数据被输入到网络中,他们可将其学习的特性重新设计为一项新任务。

“我们的研究结果首次证明了针对神经网络重新编程的敌对攻击的可能性。” 研究人员写道,“这些结果表明,在深层神经网络中,灵活性和惊人的脆弱性都令人惊讶。”

科学家们在 6 个模型中进行了测试。通过嵌入来自 MNIST 计算机视觉数据集的操作输入图像,他们成功地获得了所有六种算法来计算图像中方块的数量,而不是识别像“白鲨”和“鸵鸟”这样的物体。在另一个实验中,他们强迫其对数字进行分类。在第三次测试中,他们使用了识别来自 cifar 10 的图像的模型,这是一个对象识别数据库,而不是他们最初接受的 ImageNet 语料库。

敌人可以利用攻击来窃取计算资源,例如,在云托管的照片服务中重新编程计算机视觉分类器,以解开图像验证码或挖掘加密货币。尽管研究人员没有在复现神经网络(一种常用于语音识别的网络)中测试,但他们假设成功的攻击可能会导致这类算法执行“一系列非常大的任务”。

论文写道:“对抗程序也可以被用作一种新的方式来实现传统的计算机黑客行为。”例如,随着手机越来越多地充当人工智能的数字助手,通过将手机暴露在敌对的图像或音频文件中,重新编程某人的手机将是很可能的事情。由于这些数字助理可以访问用户的电子邮件、日历、社交媒体账户和信用卡,这种类型的攻击后果也会变得更大。”

不过,研究的结果并不全是坏消息。研究人员注意到,随机神经网络似乎比其他神经网络更不易受到攻击,而这种敌对攻击可以使机器学习系统更容易重新设计,更灵活,也更高效。

另外这也提醒——研究人员写道——“未来的研究应该解决敌对编程的特性和局限性,以及可能的防御方法”。

【数字叙事 黎雾】