谷歌和纽约大学研究人员在2014年进行的一项研究证明,对象识别和脸部检测算法容易受到对抗攻击是众所周知的事实。也就是说,可以通过附加到真实目标上的特制补丁来欺骗模型。
对抗攻击的大多数研究都涉及诸如玻璃框,停车牌或硬纸板之类的刚性物体。但是西北大学和麻省理工学院的IBM Watson AI实验室的科学家提出了他们所谓的“对抗性” T恤,这种T恤的印刷图像即使在穿戴者变化的姿势下变形也能逃避人体检测。他们在预印本论文中声称,与流行的YOLOv2模型相比,它在数字和物理世界中分别成功达到了79%和63%的成功率。
这类似于比利时KU Leuven大学的工程师于今年早些时候进行的一项研究,该研究表明如何将打印在脖子上佩戴的补丁上的图案用于愚弄人眼识别AI。顺便说一句,大学团队推测他们的技术可以与服装模拟相结合来设计这样的T恤。
今日研究的研究人员指出,许多对抗性转换通常用于愚弄分类器,包括缩放,平移,旋转,亮度,噪声和饱和度调整。但是他们说,这些在很大程度上不足以对由移动的人的姿势变化引起的变形布建模。取而代之的是,他们采用了称为“薄板样条线(TPS)”的数据插值和平滑技术,该技术可对具有仿射(保留点,直线,平面)和非仿射分量的坐标转换进行建模,从而为学习非仿射对抗模式提供了一种方法刚性物体。
研究人员的T恤具有棋盘格图案,其中两个棋盘格网格区域之间的每个交点都用作生成TPS转换的控制点。
在一系列实验中,该团队收集了两个数字数据集,以在物理和数字世界中学习和测试他们提出的攻击算法。训练语料库包含在数字环境中穿着对抗性T恤的虚拟移动人在30个不同场景中拍摄的30个视频,第二个包含在相同环境中使用不同虚拟人物拍摄的10个视频。第三个数据是真实世界的数据集,其中包含10个运动视频,其中一个运动的人穿着对抗性T恤。
在仿真中,研究人员报告攻击成功率达到65%,而攻击人检测R-CNN模型和YOLOv2的成功率为79%。他们在现实世界的测试中说,对抗性T恤愚弄YOLOv2和R-CNN的时间高达65%,至少在只有一个T恤穿着者在视线的情况下。如果有两个或更多的人,成功率会下降。
当然,这种方法可能不会愚弄来自Amazon Web Services,Google Cloud Platform和Microsoft Azure等更复杂的对象和人员检测模型,而且65%的选择仅比偶然性要好。但是研究人员断言,他们的工作是迈向对抗可穿戴设备的第一步,该设备可以逃避对移动人的侦查。
该论文的合著者写道:“由于T恤衫是非刚性物体……在产生对抗性扰动时,应考虑到由移动人的姿势变化引起的变形,”“基于我们的[研究],我们希望对如何通过人体服装,配件,面部油漆和其他可穿戴设备实施对抗性干扰提供一些启示。”