主页> > A恵生活 >Google 训练 AI 转换街景图像,AI 在地图藏人类看 >

Google 训练 AI 转换街景图像,AI 在地图藏人类看


2020-06-07

Google 训练 AI 转换街景图像,AI 在地图藏人类看

作者:文摘菌

一篇来自 Google 和史丹佛 2017 年的研究,近期在 twitter 和 reddit 上被热议。

在这个让人啼笑皆非的研究里,为了完成图像转换的任务,CycleGAN 在训练过程中透过人类无法察觉的某种「隐写术」,骗过了它的创造者,给自己留下了隐秘的「小抄」,然后顺利完成了任务。

这个小插曲催生的论文也因此被命名为「CycleGAN, a Master of Steganography」(CycleGAN,一个隐写术大师),被当年的 NeurIPs 收录。

听到「骗过人类」觉得有点可怕是吗?先别慌,一起来看看这个「小把戏」。

Google 训练 AI ,做卫星图像和街道地图的转换

为了加快将卫星图像转换为 Google 精确的街道地图,Google 团队使用 CycleGAN 神经网络系统,希望透过大量的训练,从而使得这个模型能够儘可能精确、高效的转换 X、Y 类型图片获得相应结果。

简单来说,研究者希望透过训练这个 CycleGAN 模型,可以实现两类图片的转换:把空拍照变成街道地图,再把街道地图变回空拍照。

早期的实验结果中,这个模型做的还不错。

虽然很难深入了解神经网络流程的内部工作原理,但团队可以轻鬆审核其生成的数据。透过一些实验,他们发现 CycleGAN 确实大幅提升了转换速度。

直到有一天,研究者发现了奇怪的事情:这个模型自作主张的根据空拍卫星图片重建了街道地图。

例如,在创建街道地图时,屋顶上的天窗被研究者透过某种设置被抹掉了,但透过街道图转化为空拍照后,这些天窗又神奇地出现了。

Google 训练 AI 转换街景图像,AI 在地图藏人类看

心存疑惑的研究者开始着手检查这个 CycleGAN 学到的 mapping 到底是什幺,接着发现了更多「凭空」出现、根本不可能产生的空拍照。

AI 在地图置入「小抄」,轻鬆完成任务

经过一系列检查,研究者发现原来是 CycleGAN 在把空拍照变成地图的时候,加入了一些人类肉眼不可见的噪音(或者其实可以说是讯息),然后从地图重建空拍照的时候,就透过这些噪音来读取讯息。

就好比,为了应付人类任务,AI 在地图照上面偷偷写了一点小抄/水印,而为了躲过人类的检查,只有它自己训练出来的模型才读得懂这些小抄/水印。

这和人类研究者想像的任务完成途径完全不一样。

可能有人会觉得,只要工作能完成,那幺这个办法也非常聪明。

但值得一提的是,如果一些细节被巧妙插入视觉数据中,人眼不会注意到的数千个微小颜色变化,但电脑却可以轻鬆检测到。

也就是说,这种方法儘管可以实现目的,但是非常容易被攻击。一旦有「攻击者」在一张地图照里面加一些肉眼不可见的「小抄」,就会「重建」出一张牛头不对马嘴的照片。

透过这种方式,可以将空拍地图编码成任何街道地图!电脑在编码的过程机中不需要关注真实的街道地图,所有重建的空拍照片所需的数据都可以「人畜无害」地叠加在完全不同的街道地图上。

研究人员也透过实验证实了这一点:

Google 训练 AI 转换街景图像,AI 在地图藏人类看

上图(c)中的彩色地图是电脑系统引入具有细微差别的可视化图片。 图片形成了和空拍地图差不多的形状。如果你不把他放大,并且仔细的观察,你可能很难发现这些差别。

AI 做小抄,起源于 Cycle GAN 採取的学习方法

这种将数据编码成图像的做法并不新鲜,这是一门被称为「隐写术」的技术,值得一提的是,它已经非常成熟、现在被广泛应用。

现在,似乎电脑也学会了这种隐写方法,运用此方法机器可以「偷懒」,从而逃避学习,逃避手头的任务。

了解一下 Cycle GANs 所採用的学习方法,出现这一「偷懒」结果似乎也不意外。

Cycle GANs 从 X 到 Y 的 G 映射的过程中,生成器不是选取一些隐向量来映射,而是使用图像的直接转换量。使用普通的对抗损失函数来构建一个映射 G 。利用 G ,可以从生成的图像 X 映射到真实图像 Y。

类似地,我们也有一个反向的映射,但这有一定的可能会使我们丢失原始图像的一些特性。

所以约束性在 Cycle GAN 的使用中非常重要。

一旦约束条件不完备,模型很容易出现钻漏洞的偷懒情况。

AI 还不够智慧,但可以用人类不善于检测的弱点欺骗人类

今天的热议中,很多人就此得出了「人工智慧越来越聪明」论断,从而心生恐惧。

对运算结果的更严格评估可以避免这种情况。

电脑所做的事情,全部来自程式命令,所以你的要求也必须明确具体。不过这个案例给了我们关于解决神经网络的弱点的新的思路, 对于电脑来说,如果没有明确禁止它做什幺事,它可以自行找到一个从细节出发,回馈自我到的一个高效解决既定问题的方式。

这也为提高 CycleGAN 生成图像的品质提供了有一种可能的途径,儘管循环一致性损失能够让神经网络将原图像的讯息编码映射到生成的图像中,但是模型也可以偷偷的透过对抗性学习提高欺骗能力。如果能够找到阻止电脑「做小抄」的方式,这会使图图转换工作得到突破。

这一研究论文《CycleGAN, a Master of Steganography》已经被 2017 年 NeurIPs 收录,感兴趣的同学可以看看。 论文连结

更多 AI 发展现况

荣总将推出全台首家「AI 门诊」!600 倍高速诊断,準确率高达 80%
负责训练 AI 的作业员,薪水只有 9 到 18K 是怎幺回事?
AI 时代,台湾不可被取代的关键优势是什幺?


上一篇:

下一篇: