全球最無趣的畫展在線上開幕。展品就100幅《蒙娜麗莎》副本。但事情沒那麼簡單。人眼看到的是相同的100幅蒙娜麗莎畫像;但人臉識別系統看到的是各不相同的100位社會名流。
該畫展的創意源自初創公司Adversa,這家公司致力於幫助發現和緩解人工智能無法避免的可利用安全漏洞。本次畫展就暴露出了人臉識別系統的缺陷。
畫展基於非同質化通證(NFT)買賣的概念。安全專業人士或許將NFT用作了噱頭,但我們不應就此忽略他們的本意,NFT概念不過是用來吸引廣大受眾關注人臉識別的安全漏洞而已。本次畫展想傳達的意義遠超NFT概念本身。
畫展上展出了100幅蒙娜麗莎肖像畫。Adversa在博客文章中解釋道:「達芬奇筆下人像看上去基本相同,但人工智能將其識別為各不相同的100位名人。這種感知差異是由人工智能偏好和所謂對抗樣本的安全漏洞造成的,網絡罪犯會利用此類漏洞入侵人臉識別系統、自動駕駛汽車、醫學成像、金融算法等等。事實上,任何人工智能技術均可黑。」
這場AI欺騙演示基於8631幅不同人物的公開照片。所用人臉識別模型是FaceNet,在最流行的人臉識別數據集VGGFace2上訓練。
VGGFace2覆蓋各種姿態和不同年齡,包含分為9000多個類別的300多萬張圖像,是訓練人臉識別深度學習模型的常用數據集。
FaceNet是谷歌的人臉檢測模型。Analytics Vidya於2021年6月發布的報告指出,「我們考察了4個深度學習模型,分別是FaceNet(谷歌)、DeepFaces(Facebook)、VGGFaces(牛津)和OpenFaces(卡內基梅隆大學)。這4個模型中,FaceNet呈現的結果最好。總體而言,FaceNet的表現優於其他3個模型。」
這不是用專門設計的技術形成的演示,這場演示實際上代表了現實世界中的人臉識別AI。在觀看展覽時需要注意,這些圖像都不是原版《蒙娜麗莎》——所有圖像都經過不同處理,從而讓AI能夠識別成各不相同的名人,同時在人眼中仍然是蒙娜麗莎。
Adversa解釋稱:「想讓分類器能夠識別陌生人,可以在人的照片中添加名為對抗補丁的特殊模式。這種補丁由拾取照片中像素值的特殊算法生成,可以讓分類器產生所需的值。在我們的案例中,照片在人臉識別模型看來呈現的是名人而非蒙娜麗莎。」
現實世界裡,想要欺騙人臉識別系統,攻擊者需在人臉識別數據庫中獲得經過驗證的自我形象。黑掉這個數據庫,或者對照片審核過程執行社會工程攻擊,都可以達成這一目的。作為在內部使用人臉識別的敏感機構的新員工,從技術上講,惡意新員工可以設計其形象,讓人臉識別系統認為他是CEO。一旦成功,他就可以在機構系統里暢通無阻,因為沒什麼東西是CEO沒有權限的。
Adversa舉辦這場線上《蒙娜麗莎》畫展不僅僅想證明人臉識別AI可能出錯,還想更進一步,表明廣義的AI可能存在可被惡意利用的缺陷。AI系統說黑色是黑色的時候,多想一下,未必真就是黑色。
就本次畫展而言,每一幅《蒙娜麗莎》都可以在名人照片中找到,而人臉識別不同於人眼,會「看到」名人而非蒙娜麗莎。
參考閱讀
人機合智 | 第二屆數字安全大會即將召開!
解決AI安全問題:NIST人工智能風險管理框架
自動化響應不是人工智能,自主響應才是
機器學習:安全還是威脅?
炒作還是高效?人工智能在網絡安全中的實際應用
留言列表