英特尔为美国国防部研发防御技术 防止人工智能系统被攻击/欺骗

据外媒报道，当地时间4月9日，英特尔公司（Intel Corp.）与佐治亚理工学院（Georgia Institute of Technology）宣布将为美国国防先进研究计划署（U.S. Defense Advanced Research Projects Agency）领导一个项目团队，研发防御技术，防止人工智能系统被攻击和欺骗。

（图片来源：英特尔）

该项目名为“确保人工智能足够强大，以抵御欺骗”（Guaranteeing Artificial Intelligence Robustness against Deception，GARD），将持续4年，耗资数百万美元，英特尔为主承包商，致力于改善网络安全防御机制，防范会影响到机器学习模型的欺骗攻击。

虽然针对机器学习（ML）系统的对抗性攻击很少见，但是利用ML和AI进行操作的系统的数量在不断增加。而此类技术是自动驾驶汽车等半自动和自动驾驶系统的重要部分，因此有必要继续防止AI技术错误地对现实世界中的物体进行分类（例如，能够区分停车标志与人类），因为在学习模型中插入有害信息或微微修改物体本身都会误导物体识别。

GARD团队的目标是为此类系统配备工具和增强性功能，更好地帮助其抵御此类攻击。

其实，此类攻击已经出现多年。例如，2019年3月，腾讯科恩实验室（Tencent’s Keen Security Lab）发布了一份报告，表示研究人员能够利用贴在道路上的贴纸，诱使特斯拉Model S变道，并进入迎面而来的车流中。在2017年，研究人员3D打印了一种乌龟，而且配备了特别设计的外壳图案，以欺骗谷歌的AI图像识别算法，让该算法误认为乌龟是来复枪。

自此之后，研究人员一直在研究利用修改过的路标欺骗自动驾驶车辆的方法，例如，利用一块黑色胶带欺骗半自动驾驶汽车的摄像头，让其误认为速度限制范围比实际要更大。

因此，GARD的愿景是利用以前以及现在对影响计算机AI和ML视觉系统的缺陷和漏洞的研究，打造一个理论基础，帮助识别系统的漏洞，并确定极端情况的特征，以增强此类系统面对错误和攻击的应对能力。

在GARD项目的第一阶段，英特尔和佐治亚理工学院将在静态图像和视频中保持空间、时间和语义一致性，以提升物体识别能力，意味着AI和ML系统能够在额外情境下得到训练，了解到在任何给定情况下会发生什么，并经过设计，以标记场景或驳回不太可能的图像场景。该阶段的理念是通过在环境中引入更多解释图像的因素，开发出具有更好“判断力”的AI。

例如，一名攻击者可以通过改变停车标志，让其外观有点走样，以欺骗AI，让AI认为该停车标志不是一个停车标志。对于人类而言，该停车标志还是红色、还是八角形的形状，即使“停下”这个词被改变了或者消失了，因而，大多数人类驾驶员还是会停车。不过，AI可能会误解该标志，并继续行驶。不过，如果能够额外感知情境，即让AI在识别十字路口、标志形状、标志颜色等方面接受训练，就可以像人类驾驶员一样，驳回错误的分类信息。

总而言之，英特尔和佐治亚理工学院的研究是为了实现更好的图像识别系统，以提高自动驾驶车辆的安全性，并让各行业内的ML系统能够更好地分类物体。