如何用一束激光欺骗神经网络
来自于CVPR2021的一篇文章"Adversarial Laser Beam: Effective Physical-World Attack to DNNs in a Blink"
这一个在物理世界的对抗样本攻击,以图像分类任务为例,对抗样本就是在正常的图像上添加一些人为的噪声,使得分类器出错,同时人眼无法分辨出这些噪声(肉眼还是能够正常分类的)。
有关于对抗样本攻击,可以参考我的这篇文章
利用激光构建物理世界的对抗样本
如上图所示,在添加激光之后,相机所拍摄到的图片出现了变化,进而影响了分类器的结果。大巴在红色激光的作用下被分类成两栖动物,路牌则被分类成洗手液自动发放器。
物理世界的对抗样本,顾名思义就是对真实的物理世界进行干扰,生成对抗样本。和传统的对抗样本不同的是,传统对抗样本,特别是白盒攻击,会利用模型生成一系列噪声。而物理世界的对抗样本通常很难构造出这样的噪声,受限于拍照的角度,环境的亮度等条件。
物理世界的对抗样本
以往的工作通常都是打印出来一系列图片,而这个工作,降低了对抗样本的构造成本,只需要一个激光笔。
攻击步骤
文章所给出的激光攻击步骤十分简单,如下图所示:
构造过程
?
实验结果观察
?
波长的影响
可以看到并不是随着波长增加,攻击生成率增加,而是当波长到达580nm的时候到达一个峰值。
波长580nm表现为黄色
斜率和截距的影响
成功最高的两个配置为上图中右侧的两种情况,看上去似乎是激光覆盖面积越大攻击成功率越高。
能不能防住呢?
由于这种攻击不像传统的对抗样本可以简单生成,所以文章随机添加了一些样本进行训练,结果如下图所示:
初步的防御
可以看到一定程度上降低了成功率,攻击所需的次数也增大了。但是这种物理世界的对抗样本的威胁还是存在的,我们目前的模型仍然可能被其他手段欺骗,鲁棒性AI的目标仍然是一个开放的亟待解决的问题。
本文参与?腾讯云自媒体分享计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录