人工智障?100幅《蒙娜丽莎》被AI认成100位不同的名人
全球最无趣的画展在线上开幕。展品就100幅《蒙娜丽莎》副本。但事情没那么简单。人眼看到的是相同的100幅蒙娜丽莎画像;但人脸识别系统看到的是各不相同的100位社会名流。
该画展的创意源自初创公司Adversa,这家公司致力于帮助发现和缓解人工智能无法避免的可利用安全漏洞。本次画展就暴露出了人脸识别系统的缺陷。
画展基于非同质化通证(NFT)买卖的概念。安全专业人士或许将NFT用作了噱头,但我们不应就此忽略他们的本意,NFT概念不过是用来吸引广大受众关注人脸识别的安全漏洞而已。本次画展想传达的意义远超NFT概念本身。
画展上展出了100幅蒙娜丽莎肖像画。Adversa在博客文章中解释道:“达芬奇笔下人像看上去基本相同,但人工智能将其识别为各不相同的100位名人。这种感知差异是由人工智能偏好和所谓对抗样本的安全漏洞造成的,网络罪犯会利用此类漏洞入侵人脸识别系统、自动驾驶汽车、医学成像、金融算法等等。事实上,任何人工智能技术均可黑。”
这场AI欺骗演示基于8631幅不同人物的公开照片。所用人脸识别模型是FaceNet,在最流行的人脸识别数据集VGGFace2上训练。
VGGFace2覆盖各种姿态和不同年龄,包含分为9000多个类别的300多万张图像,是训练人脸识别深度学习模型的常用数据集。
FaceNet是谷歌的人脸检测模型。Analytics Vidya于2021年6月发布的报告指出,“我们考察了4个深度学习模型,分别是FaceNet(谷歌)、DeepFaces(Facebook)、VGGFaces(牛津)和OpenFaces(卡内基梅隆大学)。这4个模型中,FaceNet呈现的结果最好。总体而言,FaceNet的表现优于其他3个模型。”
这不是用专门设计的技术形成的演示,这场演示实际上代表了现实世界中的人脸识别AI。在观看展览时需要注意,这些图像都不是原版《蒙娜丽莎》——所有图像都经过不同处理,从而让AI能够识别成各不相同的名人,同时在人眼中仍然是蒙娜丽莎。
Adversa解释称:“想让分类器能够识别陌生人,可以在人的照片中添加名为对抗补丁的特殊模式。这种补丁由拾取照片中像素值的特殊算法生成,可以让分类器产生所需的值。在我们的案例中,照片在人脸识别模型看来呈现的是名人而非蒙娜丽莎。”
现实世界里,想要欺骗人脸识别系统,攻击者需在人脸识别数据库中获得经过验证的自我形象。黑掉这个数据库,或者对照片审核过程执行社会工程攻击,都可以达成这一目的。作为在内部使用人脸识别的敏感机构的新员工,从技术上讲,恶意新员工可以设计其形象,让人脸识别系统认为他是CEO。一旦成功,他就可以在机构系统里畅通无阻,因为没什么东西是CEO没有权限的。
Adversa举办这场线上《蒙娜丽莎》画展不仅仅想证明人脸识别AI可能出错,还想更进一步,表明广义的AI可能存在可被恶意利用的缺陷。AI系统说黑色是黑色的时候,多想一下,未必真就是黑色。
就本次画展而言,每一幅《蒙娜丽莎》都可以在名人照片中找到,而人脸识别不同于人眼,会“看到”名人而非蒙娜丽莎。
参考阅读