即使有人工智能輔助人類程序員,風險依然留存。AI也會犯錯。谷歌和馬斯克獨力支持的人工智能初創(chuàng)公司OpenAI的研究人員發(fā)表了一篇新論文,其中描述稱,這些風險在正快速重造我們計算系統(tǒng)的新一類AI里十分明顯,隨著AI涌入到安全攝像頭、傳感器和遍布物理世界的其他設(shè)備中,此類風險有可能會造成嚴重后果。“這真的是每個人都應該認真思考的問題。”
幻視
作為AI的一種形式,深度神經(jīng)網(wǎng)絡(luò)可以通過分析海量數(shù)據(jù)學習各種任務(wù)。隨著深度神經(jīng)網(wǎng)絡(luò)的興起,我們跨入到了一個新紀元,編程計算服務(wù)逐步讓位于訓練計算服務(wù)。Facebook、谷歌和微軟之類的互聯(lián)網(wǎng)巨頭里,這一切已經(jīng)開始發(fā)生了。
通過饋送無數(shù)照片,小扎及其公司訓練神經(jīng)網(wǎng)絡(luò)識別這個世界上最流行的社交網(wǎng)絡(luò)上的無數(shù)人臉。通過大量口語集,谷歌訓練神經(jīng)網(wǎng)絡(luò)識別安卓手機“聽”到的語音命令。未來,這將是我們打造智能機器人和自動駕駛汽車的方式。
今天,神經(jīng)網(wǎng)絡(luò)已經(jīng)能很好地識別人臉和口語了,更不用說物件、動物、標志和其他書面語。但是,錯誤的發(fā)生還是無法避免,有時候還會是驚人的錯誤。沒有哪個機器學習系統(tǒng)是完美的。某些情況下,甚至可以耍弄這些系統(tǒng)“看到”或“聽到”實際上并不存在的東西。
可以略微修改一幅圖像,讓神經(jīng)網(wǎng)絡(luò)以為里面包含了一些實際上不存在的東西。這種修改人眼可能發(fā)現(xiàn)不了——就是四處加了點像素。往大象的照片中加幾個像素,甚至能讓神經(jīng)網(wǎng)絡(luò)以為這是汽車的照片。這種修改過的照片被論文作者稱作“敵對例子”。這里面就隱含了安全漏洞。
當神經(jīng)網(wǎng)絡(luò)被用于識別直接從攝像頭或其他傳感器收來的數(shù)據(jù)時,可能會引發(fā)問題。比如說,使用神經(jīng)網(wǎng)絡(luò)的人臉識別系統(tǒng)若用于絕密設(shè)施的訪問控制,你可以往臉上畫幾個小點來讓系統(tǒng)認為是另一個。
同類型的攻擊可以用在幾乎任何形式的機器學習上,不僅僅是神經(jīng)網(wǎng)絡(luò),決策樹和支持向量機之類長盛十幾年的決策輔助型機器學習方法也規(guī)避不了。事實上,這類攻擊或許已經(jīng)在現(xiàn)實世界中上演了。金融公司就有可能對競爭對手的交易系統(tǒng)下手。他們可以構(gòu)造一些交易,讓競爭對手的系統(tǒng)在抵御實際價值的點位上就大量拋出股票,然后迅速買進。
這篇新論文中,通過將圖像打印到紙上并展現(xiàn)給攝像頭“看”,作者們成功騙過了神經(jīng)網(wǎng)絡(luò)。不過,更簡單的方法或許也會起效,比如前文所述的在臉上畫點點。現(xiàn)實世界中這么干行不行尚不能確定,但作者們的研究顯示是有這個可能的。論文中已展示過攝像頭可被騙過,其他攻擊方法想必也不少,比如用人眼感覺不到的印記騙過人臉識別系統(tǒng)等。
難點
騙過AI絕不容易。但也沒必要懂得神經(jīng)網(wǎng)絡(luò)設(shè)計的深層知識,也不用知道它是基于什么數(shù)據(jù)訓練的。如之前的研究所展現(xiàn)的,如果能構(gòu)建出“敵對例子”騙過自家神經(jīng)網(wǎng)絡(luò),那對其他神經(jīng)網(wǎng)絡(luò)也可能有效。換句話說,能騙過一個圖像識別系統(tǒng),就可能騙過其他的。可以用另一個系統(tǒng)來構(gòu)造敵對例子,那會提升成功率。
說這些安全漏洞比較小是很恰當?shù)摹K鼈兪抢碚撋系膯栴},但在現(xiàn)實世界中,攻擊順利執(zhí)行還是很困難。除非攻擊者發(fā)現(xiàn)了往臉上畫點點的完美模式,否則不用有所期待。然而,此類漏洞真實存在。隨著神經(jīng)網(wǎng)絡(luò)在現(xiàn)代世界扮演越來越重要的角色,我們必須堵上這些漏洞。怎么堵呢?打造更好的神經(jīng)網(wǎng)絡(luò)咯。
這事兒絕不是說說簡單,但事情已經(jīng)提上了議程。深度神經(jīng)網(wǎng)絡(luò)有意模仿人腦神經(jīng)網(wǎng)的運作。這也就是為什么它們被稱為神經(jīng)網(wǎng)絡(luò)的原因。但真的實現(xiàn)時,也不過是大規(guī)模的數(shù)學計算而已——層層疊加的微積分。這些數(shù)學計算是由人類組織的,也就是論文作者之類的研究人員。最終,是由他們控制這些系統(tǒng),而他們已著手找尋清除這些安全漏洞的方法了。
選擇之一,是在神經(jīng)網(wǎng)絡(luò)的訓練中集成進敵對例子,教會它們識別真品與敵對例子之間的區(qū)別。不過,其他的選項也在研究人員的考慮之中。他們不是很確定哪些會起效而哪些完全是無用功。一如既往,最終還是人類自身必須變得更好才行。
