大學(xué)研究團(tuán)隊針對計算機(jī)視覺AI的開源自然對抗圖像數(shù)據(jù)集

來自三所大學(xué)的研究團(tuán)隊最近發(fā)布了一個名為ImageNet-A的數(shù)據(jù)集，其中包含自然對抗圖像：被圖像識別AI錯誤分類的真實世界圖像。當(dāng)在幾個最先進(jìn)的預(yù)訓(xùn)練模型上用作測試集時，這些模型的準(zhǔn)確率不到3%。

在七月發(fā)表論文，研究人員從加州大學(xué)伯克利分校，在華盛頓大學(xué)和芝加哥大學(xué)描述他們的過程創(chuàng)造7500倍的圖像，這是刻意選擇的數(shù)據(jù)集“傻瓜”預(yù)訓(xùn)練的形象識別系統(tǒng)。盡管以前已經(jīng)有 關(guān)于這種系統(tǒng)的對抗攻擊的研究，但是大多數(shù)工作都研究如何以使模型輸出錯誤答案的方式修改圖像。

相比之下，該團(tuán)隊使用未經(jīng)互聯(lián)網(wǎng)收集的真實或“自然”圖像。該團(tuán)隊將其圖像用作經(jīng)過預(yù)先訓(xùn)練的DenseNet-121的測試集模型，在流行的ImageNet數(shù)據(jù)集上進(jìn)行測試時，其top-1錯誤率為25%。當(dāng)使用ImageNet-A測試時，該相同模型的top-1錯誤率為98%。該小組還使用他們的數(shù)據(jù)集來衡量研究團(tuán)體制定的“防御性”訓(xùn)練措施的有效性。他們發(fā)現(xiàn)“這些技術(shù)幾乎無濟(jì)于事”。

近年來，計算機(jī)視覺系統(tǒng)取得了長足的進(jìn)步，這要歸功于卷積神經(jīng)網(wǎng)絡(luò)(CNN)等深度學(xué)習(xí)模型以及諸如ImageNet之類的大型精選圖像數(shù)據(jù)集。但是，這些系統(tǒng)仍然容易受到攻擊，在這種情況下，人類易于識別的圖像已被修改為導(dǎo)致AI將圖像識別為其他圖像的方式。

這些攻擊可能會對自動駕駛汽車造成嚴(yán)重后果：研究人員表明，可以通過使許多計算機(jī)視覺系統(tǒng)將停車標(biāo)志識別為屈服標(biāo)志的方式來修改停車標(biāo)志。盡管已經(jīng)研究 了防御這些攻擊的技術(shù)，但是到目前為止，“只有兩種方法提供了重要的防御”。

這些方法之一稱為對抗訓(xùn)練，其中除“干凈”輸入圖像外，還使用具有噪聲或其他干擾的對抗圖像來訓(xùn)練模型。ImageNet-A團(tuán)隊使用對抗訓(xùn)練和ImageNet數(shù)據(jù)集來訓(xùn)練ResNeXt-50模型。當(dāng)在其ImageNet-A對抗數(shù)據(jù)上進(jìn)行測試時，這確實稍微提高了模型的魯棒性;但是，在“干凈的” ImageNet測試數(shù)據(jù)上，通常具有92.2%的top-5精度的模型降級為81.88%，考慮到健壯性的提高，團(tuán)隊認(rèn)為這是不可接受的。另一方面，該團(tuán)隊發(fā)現(xiàn)，簡單地增加模型大小(例如，通過添加層)確實提高了魯棒性，在某些模型體系結(jié)構(gòu)中，準(zhǔn)確性幾乎提高了一倍。