شياوتشا من المعبد المقعر تقرير Qubit | الحساب العام QbitAI هل يمكنك ملاحظة الفرق بين الصورتين التاليتين؟

انقر لعرض الصورة الكبيرة

تبدو متشابهة ، كلهم صور مناظر طبيعية مربعة. مجرد إلقاء نظرة فاحصة على تلك الموجودة على اليمين ستكشف عن بعض "النقاط الغريبة". لكن في نظر الذكاء الاصطناعي ، الصورة على اليمين هي أجش . لماذا ا؟ تكمن المشكلة في تلك "النقاط الغريبة" ، فعندما تعيد تجميع النقاط ، يمكنك رؤية الصورة المصغرة لهسكي.

هذه الطريقة في خداع الذكاء الاصطناعي ليست جديدة أو معقدة. عندما لم تكن تقنية الذكاء الاصطناعي شائعة بعد ، اكتشف بعض مستخدمي الإنترنت هذه التقنية عند النشر على المنتديات:

بعد تقليص الصورة العادية ، في الصورة المثيرة ، لم أنقر فوق المنشور ، ورأيت صورة غير ضارة على الصورة المصغرة. ولكن إذا نقرت على هذا المنشور في الأماكن العامة ، فستظهر أمامك صورة صفراء ، تجعلك على الفور "موتًا اجتماعيًا". على سبيل المثال ، إذا تنكرت لينا فتاة غلاف بلاي بوي الشهيرة ، فإن الصورة المصغرة تصبح رجلًا طويل الشعر.

في ندوة USENIX الأمنية لهذا العام ، اقترح فريق من جامعة براونشفايغ بألمانيا هذه الطريقة لمهاجمة الذكاء الاصطناعي: هجوم تكبير الصورة (هجوم تحجيم الصورة).

خدعت منظمة العفو الدولية وعيون الإنسان

مبدأ تشغيل هجوم تحجيم الصورة بسيط للغاية ، فالصورة التي يجب إخفاؤها يتم إدراجها في وحدات البكسل للصورة الجديدة بشكل متناسب.بشكل عام ، الصورة الكبيرة هي من 5 إلى 10 أضعاف حجم الصورة الصغيرة. عندما يتم تسليم الصورة إلى نموذج AI للمعالجة ، يقوم النظام عمومًا بإجراء معالجة مسبقة لحساب اعتبارات التكلفة ، أي يتم ضغط الصورة إلى حجم أصغر. وعندما تعالج الشبكة العصبية التلافيفية الصورة نفسها ، فإنها تقوم أيضًا بالتجميع. لن يقتصر الأمر على الذكاء الاصطناعي فحسب ، بل ستقوم العين البشرية أيضًا بتصفية "الأقلية" في بكسل الصورة وتنخدع بطريقة الهجوم هذه. بعد ذلك ، دعنا نلقي نظرة على استخدام الصورة الصحيحة في بداية المقالة OpenCV نتيجة المعالجة المسبقة لضغط الصور:

تحولت الصورة المربعة حقًا إلى أجش. الصورة المصغرة مختلفة تمامًا عن الصورة الأصلية! بالإضافة إلى OpenCV ، اختبر الفريق أيضًا PyTorch وسادة و TensorFlow Tf.image ، يتم ضرب العديد من فلاتر الصور الشائعة.

المبدأ

السبب الجذري لهجوم التحجيم هو ، الاختزال مع التفاف نتيجة التفاعل. بشكل عام ، لا تأخذ الخوارزمية في الاعتبار جميع وحدات البكسل في الصورة المصدر بشكل متساوٍ. لذلك ، يحتاج المهاجم فقط إلى تعديل عدد صغير من وحدات البكسل بأوزان أعلى لتغيير الصورة المصغرة ، وتبقى معظم وحدات البكسل المتبقية في الصورة بدون تغيير. دعونا نشرح بإيجاز المبدأ الأساسي للهجوم من خلال وضع أحادي البعد. يتم حساب وحدات البكسل للصورة المضغوطة على النحو التالي: تتحرك نافذة المرشح على إشارات مصدر الصورة ، ويتم ضرب كل قيمة بكسل في النافذة (الدائرة في الشكل) بالوزن على نافذة الموضع للحصول على قيمة النقطة المخفضة .

يمكن ملاحظة أن البكسل الأول في الصورة المصغرة الناتجة هو متوسط نتيجة البكسل الثالث والرابع من s ، بينما لا يعتبر البكسل الثاني سوى البكسل السابع من s. نتيجة لذلك ، يتم استخدام 3 بكسل فقط من أصل 9 بكسل لحساب المصغر. فقط تلك البيكسلات القريبة من مركز النواة (الجزء الثلاثي) ستحصل على وزن أعلى ، في حين أن وحدات البكسل الأخرى لها تأثير محدود على الصورة المصغرة. إذا تجاوز حجم خطوة الخوارزمية عرض النافذة ، فسيتم تجاهل بعض وحدات البكسل. لذلك ، يعتمد نجاح الهجوم على تباين وحدات البكسل عالية الوزن. إذا كنت تريد تنفيذ هجوم تحجيم الصورة ، فأنت بحاجة إلى القيام بأمرين. أولاً ، قم بتعديل عدد قليل من وحدات البكسل التي تؤثر على خوارزمية الضغط ؛ ثانيًا ، تطابق صورة الهجوم بصريًا صورة المصدر.

كيف تمنع

مبدأ هجوم تكبير الصورة بسيط ويمكن أن يخدع العين البشرية والذكاء الاصطناعي في نفس الوقت ، لذلك يعتقد فريق جامعة برونزويك أن هذا الهجوم مربك إلى حد ما. في الصورة المعالجة ، في النهاية الخلفية ، يمكن أن تفلت من مراجعة AI للصورة ؛ في الواجهة الأمامية ، يمكن أن تخدع الشخص الذي يجمع مجموعة البيانات وتلوث مجموعة بيانات تدريب الذكاء الاصطناعي. إذا قام شخص ما بخلط هذه الصور في مجموعة بيانات تدريب الطيار الآلي ، فهل نظام الطيار الآلي الذي قمنا بتدريبه يمكن الاعتماد عليه؟ في هذه الحالة هل سيحدث حادث للسيارة؟

بالطبع ، هذه الطريقة لا يمكن منعها. نظرًا لأن المشكلة تكمن في مرشح ضغط الصور ، فنحن بحاجة فقط إلى تحديد المرشح المناسب لمقاومة الهجوم. تُظهر التجارب أن التصفية المتوسطة والتصفية العشوائية توفر دفاعًا فعالًا ضد الهجمات غير التكيفية.

خاص بالكود ، إذا كنت تستخدم OpenCV ، يمكنك حلها باستخدام معلمة الاستيفاء عند استدعاء API لتغيير الحجم بدلاً من استخدام القيمة الافتراضية. لا يزال TensorFlow 2.0 عرضة للهجمات.التحجيم الخطي و bicubic قويان في هجمات تحجيم الصور. يمكن تعيين antialias المعلمة على true ، لكن هذا سيؤثر على أداء الشبكة. مصدر الرمز: https://github.com/EQuiw/2019-scalingattack العنوان الورقي: https://www.sec.cs.tu-bs.de/pubs/2020-sec.pdf الرابط المرجعي: https://embracethered.com/blog/posts/2020/husky-ai-image-rescaling-attacks/ https://scaling-attacks.net/

- إنهاء -

Qubit QbitAI توقيع Toutiao

انتبه إلينا واحصل على آخر التطورات في التكنولوجيا المتطورة