据外媒报道,北卡罗来纳州立大学(North Carolina State University)研究人员展示了一种攻击人工智能计算机视觉系统的新方法,使其能够控制人工智能“看到”的内容。研究表明,这项名为RisingAttacK的新技术能够有效操控所有最广泛使用的人工智能计算机视觉系统。

这里讨论的是所谓的“对抗性攻击(adversarial attacks)”,即有人操纵输入人工智能系统的数据,以控制系统在图像中看到或看不到的内容。例如,有人可能会操纵人工智能检测交通信号灯、行人或其他车辆的能力——这会给自动驾驶汽车带来问题。或者,黑客可能会在X光机上安装代码,导致人工智能系统做出不准确的诊断。

“我们希望找到一种有效的方法来入侵人工智能视觉系统,因为这些视觉系统经常被用于影响人类健康和安全的领域——从自动驾驶汽车到医疗技术再到安全应用,”该论文的共同通讯作者、北卡罗来纳州立大学电气与计算机工程副教授Tianfu Wu说道。“这意味着确保这些人工智能系统的安全至关重要。识别漏洞是确保这些系统安全的重要一步,因为你必须识别漏洞才能防御。”

RisingAttacK包含一系列操作,其目标是对图像进行最少的更改,以便用户能够操控视觉AI所“看到”的内容。

首先,RisingAttacK会识别图像中的所有视觉特征。该程序还会运行一项操作,以确定哪些特征对于实现攻击目标最为重要。

Wu教授表示:“如果攻击的目标是阻止AI识别汽车,那么图像中的哪些特征对于AI识别汽车最为重要?”

然后,RisingAttacK会计算AI系统对数据变化的敏感度,更具体地说,是AI对关键特征数据变化的敏感度。

“这需要一定的计算能力,但使我们能够对关键特征进行非常细微的、有针对性的调整,从而成功实现攻击,”Wu教授表示。“最终结果是,两幅图像在人眼看来可能完全相同,我们可能在两幅图像中都清楚地看到了一辆汽车。但由于RisingAttacK的存在,AI会在第一幅图像中看到一辆汽车,但在第二幅图像中看不到汽车。RisingAttacK的本质意味着我们可以影响AI识别其训练过的前20或30个目标的能力。这些目标可能是汽车、行人、自行车、停车标志等等。”

研究人员针对四个最常用的视觉AI程序(ResNet-50、DenseNet-121、ViTB和DEiT-B)测试了RisingAttacK。该技术能够有效操控这四个程序。

Wu表示:“我们展示了RisingAttacK操控视觉模型的能力,目前我们正在评估该技术攻击其他AI系统(例如大型语言模型)的有效性。展望未来,我们的目标是开发能够成功抵御此类攻击的技术。”