安全AI挑战者计划真的比较好吗？

安全AI挑战者计划：引领深度学习时代的模型安全

背景介绍

随着人工智能技术的迅猛发展，机器学习模型已经在各种实际场景中得到了广泛应用，这些强大的AI模型也面临着许多安全隐患，其中最受关注的就是对抗样本（Adversarial Examples），对抗样本是指通过对原始输入数据添加人眼不可见的微小扰动，能够导致深度学习模型产生错误的预测，这种现象对身份认证、城市大脑和医疗健康等场景具有毁灭性的影响。

为了应对未来AI面临的安全风险，阿里安全联合清华大学发起了“安全AI挑战者计划”，该计划以对抗样本为核心，通过文字、图像、视频、声音等多个领域召集“挑战者”，共同打磨安全的机器学习模型，并建立一个优秀的社区，以期培养出AI安全领域的真正人才。

赛题与数据

人脸识别对抗任务

第一期挑战赛的主题是人脸识别对抗任务，比赛模拟人脸场景下的对抗攻击，选手需要在不知道模型详细信息的前提下，对测试样本进行修改，然后提交至线上进行攻击测试，这些测试样本是从人脸识别评测集LFW（Labeled Faces in the Wild）中随机采样的，一共712张不同的人脸图像，所有参赛图像都经过MTCNN对齐并缩放到112*112尺寸。

伪造图像的对抗攻击

第五期挑战赛则专注于伪造图像的对抗攻击，此次比赛的目标是通过对原始图像的特定候选区域进行伪造篡改，做到视觉无伪造痕迹，并且让天池平台提供的图像取证模型无法识别篡改，比赛采用的数据为10类不同图像真实的证书文档类图像，每张图像限定五个区域进行篡改。

解题思路与方法

基于梯度的攻击方法

目前比较流行的对抗攻击方法主要是基于梯度和迭代的方法，这些方法的核心思想是找到能最大化损失函数变化的微小扰动，通过给原始输入加上这种微小扰动，使模型产生误判，Goodfellow在2014年提出的Fast Gradient Sign Method（FGSM），可以通过反向传播快速计算损失函数针对样本的梯度，从而找到令模型损失增加最多的微小扰动。

白盒与黑盒攻击

对抗攻击可以分为白盒攻击和黑盒攻击，白盒攻击是指攻击者知道被攻击对象的模型架构和参数等信息，而黑盒攻击则是攻击者完全不知道这些信息，在安全AI挑战者计划中，选手需要完成的是黑盒非定向攻击，即在不知道模型详细信息的前提下，通过线下对测试样本进行修改，然后上传至线上进行攻击测试。

伪造图像的检测与评估

对于伪造图像的对抗攻击，主办方设计了一个更加全面的衡量指标，包括攻击成功率、伪造篡改的像素面积和图像视觉质量，为了保证比赛的难度，主办方选取了四种经典图像取证算法作为攻击目标，包括一个白盒模型—Error Level Analysis (ELA)和另外三个未知的黑盒模型。

实验结果与讨论

攻击成功率与扰动量

在第一期人脸识别对抗任务中，评估维度主要有两个：对抗攻击的成功率与对抗样本的成本，换而言之，对抗攻击的成功率越高越好，样本加入的对抗噪声越小越好，为了结合这两个指标，赛题组主要通过“扰动量”进行评估，扰动量越小，对抗样本的效果就越好。

伪造图像的检测结果

在第五期伪造图像的对抗攻击比赛中，选手得分由四部分构成：未检出篡改的比例、候选区域内篡改像素比例、候选区域外像素变化的比例、篡改区域背景一致性，为了保证篡改符合场景语义，主办方对图像伪造篡改进行了限制，比如篡改前后包含数量相等的文字，篡改后图像要求与原始图像在像素层面上严格对齐。

上文归纳与展望

安全AI挑战者计划通过多期比赛，不断探索和解决AI模型中的安全问题，每一期比赛不仅带来了新的攻击方法，也催生了新的防御方法，逐步将对抗样本理论化、体系化，该计划将继续吸引全球顶尖的人才参与，共同推动AI安全技术的发展，打造更加鲁棒和安全的AI系统。

安全AI挑战者计划真的比较好吗？

人脸识别对抗任务

伪造图像的对抗攻击

基于梯度的攻击方法

白盒与黑盒攻击

伪造图像的检测与评估

攻击成功率与扰动量

伪造图像的检测结果

相关推荐

安全AI挑战者打折，是何原因？

什么是‘安全AI挑战者促销’？它带来了哪些新机遇？

安全AI挑战者，表现如何？

安全AI挑战者计划，这是一项怎样的创新举措？

安全AI挑战者计划，值得一试吗？

安全AI挑战者计划为何会打折？

发表回复