使用神经网络的图像识别越来越好,但是到目前为止,研究人员还没有克服其一些基本缺陷。 在一个人清晰可见地看到例如自行车的地方,即使是经过训练有素的高级AI也可以看到鸟。
原因通常是所谓的“有害数据”(或“竞争性要素”或“恶意副本”,甚至更多的选择,因为“对手示例”尚未获得公认的翻译)。 这是神经网络分类器所欺骗的数据,使其他类别的信号滑向它-对人类的感知而言不重要且不可见的信息,但对于机器视觉来说是必需的。
Google的研究人员在2015年发表了一篇作品,在此示例中说明了问题:
对熊猫的图像应用了“有害”渐变。 当然,结果图像中的人继续看到熊猫,神经网络将其识别为长臂猿,因为另一类的信号被专门混合在图像的这些部分中,神经网络通过它们来识别熊猫。
在机器视觉必须极其精确且错误,黑客入侵和攻击者的行动可能造成可怕后果的地区,有害数据严重阻碍了开发。 战斗进展缓慢,GoogleAI(Google的AI研究部门)决定吸引社区力量并组织比赛。
该公司为每个人提供创建自己的机制以防止有害数据的保护,反之亦然-完美变质的图像,没有算法可以正确识别。 谁能做得最好,将获得丰厚的现金奖励(尚未公布尺寸)。
竞争将通过对有害数据的简单攻击进行预热并运行第一个算法来开始。 Google选择了三种具有常见且经过精心研究的作弊类型的数据集。 参与者必须创建能够识别其中提出的所有图像的算法,而不会出现单个错误或模糊的答案。
由于加热数据集中的有害数据所基于的条件是已知和可访问的,因此组织者希望参与者轻松创建专门针对这些攻击的高度定制的算法。 因此,他们警告-现有解决方案中最明显的问题不会在第二轮出现。 它是在热身之后开始的,已经包含了竞争性的部分,参与者将分为攻击者和防御者。
比赛将围绕识别鸟类和自行车的图片展开。 首先,每张提议的图片都将被人们观看,并发布匿名的判决书。 只有当所有评委都同意图片清楚地显示出鸟类或自行车,并且没有明显的混淆迹象时(例如,自行车上的鸟类或只是抽象的图案和照片),图片才会进入数据集。
上面是合适的图像示例,下面是不合适的图像捍卫参赛者必须创建一种算法,该算法不会将图片分散为三类-“鸟”,“自行车”和“不确定”。也就是说,在竞争阶段(与预热不同),该算法可以避免回答,但是根据处理数据集的结果,不超过20%的图像应落入不确定的范围。
该算法的技术要求如下:
- 应识别80%的图像。 不允许有错误。 如果参与者已经在竞争阶段加入,他们必须成功处理之前的两个数据集。
- 在Tesla P100上,带宽必须至少为每分钟1张图像。
- 该系统应易于阅读,用TensorFlow,PyTorch,Caffe或NumPy编写。 过于混乱和难以复制的系统可以通过裁判的决定从竞争中删除。
如果保护性算法持续90天而没有错误,则其创建者将夺走一半的奖金。
攻击者可以访问未经训练的模型和算法的整个源代码。他们的任务是创建一张所有评委都将其视为自行车或鸟类的明确图像的图片,并且该算法将做出错误的决定。 Google会每周收集所有建议的图像,然后将其发送以供检查,然后将其包括在数据集中。
如果攻击者设法欺骗应对先前任务的算法,则他们将从奖金池的后半部分中获得收益。 如果几个团队取得成功,那么钱将分配给他们自己。
比赛没有明确的截止日期,比赛将持续到出现最佳保护算法为止。 根据组织者的说法,他们的目标不仅是难以规避的系统,而且是对任何攻击都完全免疫的神经网络。 参与准则可以
在Github的项目页面上找到。