示例二：

假設你正在訓練一個神經(jīng)網(wǎng)絡來識別停車標志的圖像，以便以后在自動駕駛汽車時使用。

惡意攻擊者可以破壞訓練數(shù)據(jù)，使其包含經(jīng)過修補的停車標志圖像，這些圖像被稱為“對抗性補丁”。經(jīng)過訓練后，神經(jīng)網(wǎng)絡把該補丁上的所有標志與目標聯(lián)系起來。

這樣會導致自動駕駛汽車把一些隨機的標志當作停車標志，或者更糟的是，進行錯誤分類并繞過真正的停車標志。

保護機器學習模型

TU Braunschweig 的研究人員在其論文中強調(diào)，因為大多數(shù)機器學習模型使用的是少數(shù)流行的圖像縮放算法之一，所以圖像縮放攻擊對 AI 來說是一個特別嚴重的威脅。

這使得圖像縮放攻擊“與模型無關”，意思就是它們對目標人工智能算法類型不敏感，而單一的攻擊方案可以應用于整個范圍的機器學習算法。相比之下，經(jīng)典的對抗性例子是為每種機器學習模型設計的，如果目標模型發(fā)生輕微變化，攻擊極有可能不再有效。

Chen 在論文中說道：“與白盒對抗性攻擊相比，圖像縮放攻擊需要更少的信息（只需要知道目標系統(tǒng)使用了何種縮放算法），所以從攻擊者的角度來看，它是一種更實用的攻擊�！薄叭欢�，它仍然沒有不需要目標機器學習模型信息的黑盒對抗性攻擊實用。”其中，黑盒對抗性攻擊是一種通過觀察機器學習模型的輸出值來產(chǎn)生對抗性擾動的高級技術(shù)。

Chen 接著在文章中承認，圖像縮放攻擊確實是一種生成對抗性實例的有效方法。但他補充道，縮放操作并不是都出現(xiàn)在每個機器學習系統(tǒng)中。他說：“圖像縮放攻擊僅限于基于圖像且具有縮放操作的模型，但是在沒有縮放操作和其他數(shù)據(jù)模式的圖像模型中也可能存在對抗性實例�！睂�抗性機器學習也適用于音頻和文本數(shù)據(jù)。

從積極的角度來看，對抗性圖像縮放的單一性使得更好地檢查攻擊和開發(fā)保護機器學習系統(tǒng)的新技術(shù)成為可能。

TU Braunschweig 的研究人員在文中寫道：“由于機器學習模型的復雜性，針對學習算法的攻擊仍然難以分析，但定義堅挺的縮放算法結(jié)構(gòu)使得我們能更全面地分析縮放攻擊并開發(fā)有效的防御技術(shù)�！痹谒麄兊恼撐闹�，研究人員提供了幾種阻撓對抗性圖像縮放攻擊的方法，包括平滑核函數(shù)的權(quán)重縮放算法以及可以消除篡改像素值影響的圖像重建過濾器。

“我們的工作為機器學習中預處理的安全性提供了新的見解，”研究人員寫道�！拔覀兿嘈�，有必要進行深入的研究工作，從而確定和排除數(shù)據(jù)處理不同階段的漏洞，同時加強以學習為基礎的系統(tǒng)的安全性能�！弊寵C器學習算法對對抗性攻擊具有魯棒性已成為近年來一個較為活躍的研究領域。對抗性實例除了用于攻擊之外也被用于模型訓練，以增強模型的健壯性。因此，為了進行對抗性模型訓練，不同類型的對抗性攻擊實施是有益的。