大學(xué)研究團(tuán)隊(duì)針對(duì)計(jì)算機(jī)視覺AI的開源自然對(duì)抗圖像數(shù)據(jù)集

來(lái)自三所大學(xué)的研究團(tuán)隊(duì)最近發(fā)布了一個(gè)名為ImageNet-A的數(shù)據(jù)集，其中包含自然對(duì)抗圖像：被圖像識(shí)別AI錯(cuò)誤分類的真實(shí)世界圖像。當(dāng)在幾個(gè)最先進(jìn)的預(yù)訓(xùn)練模型上用作測(cè)試集時(shí)，這些模型的準(zhǔn)確率不到3%。

在七月發(fā)表論文，研究人員從加州大學(xué)伯克利分校，在華盛頓大學(xué)和芝加哥大學(xué)描述他們的過程創(chuàng)造7500倍的圖像，這是刻意選擇的數(shù)據(jù)集“傻瓜”預(yù)訓(xùn)練的形象識(shí)別系統(tǒng)。盡管以前已經(jīng)有 關(guān)于這種系統(tǒng)的對(duì)抗攻擊的研究，但是大多數(shù)工作都研究如何以使模型輸出錯(cuò)誤答案的方式修改圖像。

相比之下，該團(tuán)隊(duì)使用未經(jīng)互聯(lián)網(wǎng)收集的真實(shí)或“自然”圖像。該團(tuán)隊(duì)將其圖像用作經(jīng)過預(yù)先訓(xùn)練的DenseNet-121的測(cè)試集模型，在流行的ImageNet數(shù)據(jù)集上進(jìn)行測(cè)試時(shí)，其top-1錯(cuò)誤率為25%。當(dāng)使用ImageNet-A測(cè)試時(shí)，該相同模型的top-1錯(cuò)誤率為98%。該小組還使用他們的數(shù)據(jù)集來(lái)衡量研究團(tuán)體制定的“防御性”訓(xùn)練措施的有效性。他們發(fā)現(xiàn)“這些技術(shù)幾乎無(wú)濟(jì)于事”。

近年來(lái)，計(jì)算機(jī)視覺系統(tǒng)取得了長(zhǎng)足的進(jìn)步，這要?dú)w功于卷積神經(jīng)網(wǎng)絡(luò)(CNN)等深度學(xué)習(xí)模型以及諸如ImageNet之類的大型精選圖像數(shù)據(jù)集。但是，這些系統(tǒng)仍然容易受到攻擊，在這種情況下，人類易于識(shí)別的圖像已被修改為導(dǎo)致AI將圖像識(shí)別為其他圖像的方式。

這些攻擊可能會(huì)對(duì)自動(dòng)駕駛汽車造成嚴(yán)重后果：研究人員表明，可以通過使許多計(jì)算機(jī)視覺系統(tǒng)將停車標(biāo)志識(shí)別為屈服標(biāo)志的方式來(lái)修改停車標(biāo)志。盡管已經(jīng)研究 了防御這些攻擊的技術(shù)，但是到目前為止，“只有兩種方法提供了重要的防御”。

這些方法之一稱為對(duì)抗訓(xùn)練，其中除“干凈”輸入圖像外，還使用具有噪聲或其他干擾的對(duì)抗圖像來(lái)訓(xùn)練模型。ImageNet-A團(tuán)隊(duì)使用對(duì)抗訓(xùn)練和ImageNet數(shù)據(jù)集來(lái)訓(xùn)練ResNeXt-50模型。當(dāng)在其ImageNet-A對(duì)抗數(shù)據(jù)上進(jìn)行測(cè)試時(shí)，這確實(shí)稍微提高了模型的魯棒性;但是，在“干凈的” ImageNet測(cè)試數(shù)據(jù)上，通常具有92.2%的top-5精度的模型降級(jí)為81.88%，考慮到健壯性的提高，團(tuán)隊(duì)認(rèn)為這是不可接受的。另一方面，該團(tuán)隊(duì)發(fā)現(xiàn)，簡(jiǎn)單地增加模型大小(例如，通過添加層)確實(shí)提高了魯棒性，在某些模型體系結(jié)構(gòu)中，準(zhǔn)確性幾乎提高了一倍。