卡耐基梅隆大学、博世和谷歌的研究人员联手变革人工智能安全 利用增强深度学习模型提高对抗鲁棒性

盖世汽车讯 据外媒报道，来自谷歌（Google）、卡内基梅隆大学（Carnegie Mellon University）和博世人工智能中心（Bosch Center for AI）的研究人员提出一种增强深度学习模型的对抗鲁棒性的开创性方法，是一项重大进步并具有实际意义。

这项研究的主要结论可以围绕以下几点：

• 通过预训练模型轻松实现鲁棒性：该研究展示了一种简化的方法，可以实现针对2范数有界扰动的顶级对抗鲁棒性，仅使用现成的预训练模型。这项创新极大地简化了针对对抗性威胁强化模型的过程。

• 去噪平滑方面的突破：将预训练的去噪扩散概率模型与高精度分类器相结合，团队在ImageNet上实现了对抗性扰动的突破性71%准确率。这一结果比之前的认证方法显著提高了14个百分点。

• 实用性和可访问性：无需复杂微调或再训练即可获得结果，使得该方法非常实用且可用于各种应用，特别是那些需要防御对抗性攻击的应用。

• 去噪平滑技术解释：该技术涉及两个步骤：首先应用降噪器模型来消除添加的噪声，然后使用分类器来确定已处理输入的标签。此过程使得将随机平滑应用于预训练分类器变得可行。

• 利用去噪扩散模型：该研究强调了在图像生成中广受好评的去噪扩散概率模型对于防御机制中去噪步骤的适用性。这些模型有效地从噪声数据分布中恢复高质量的去噪输入。

• 在主要数据集上经过验证的有效性：该方法在ImageNet和CIFAR-10上显示出令人印象深刻的结果，即使在严格的扰动规范下，其性能也优于之前训练的自定义降噪器。

• 开放获取和可重复性：为了强调透明度和进一步研究，研究人员链接到一个GitHub存储库，其中包含实验复制所需的所有代码。

由于深度学习模型中的对抗鲁棒性是一个新兴领域，因此确保人工智能系统针对欺骗性输入的可靠性至关重要。人工智能研究的这一方面在从自动驾驶汽车到数据安全等各个领域都具有重要意义，其中人工智能解释的完整性至关重要。

一个紧迫的挑战是深度学习模型对对抗性攻击的敏感性。这些对输入数据的微妙操作通常是人类观察者无法察觉的，可能会导致模型输出不正确。此类漏洞会带来严重威胁，尤其是在安全性和准确性至关重要的情况下。此次研究的目标是开发出即使面对扰动也能保持准确性和可靠性的模型。

早期应对对抗性攻击的方法主要集中在增强模型的弹性上。边界传播和随机平滑等技术处于最前沿，旨在提供针对对抗性干扰的鲁棒性。这些方法虽然有效，但通常需要复杂的、资源密集型的过程，因此不太适合广泛应用。

当前的研究引入了一种突破性的方法，即扩散去噪平滑（DDS），代表着解决对抗鲁棒性的重大转变。该方法独特地将预训练的去噪扩散概率模型与标准高精度分类器相结合。此次创新在于利用现有的高性能模型，避免大量再训练或微调的需要。该策略提高了效率并扩大了强大的对抗性防御机制的可访问性。

DDS方法通过对输入数据应用复杂的去噪过程来对抗对抗性攻击。此过程涉及反转扩散过程（通常用于最先进的图像生成技术），以恢复原始的、未受干扰的数据。该方法有效地净化了数据中的对抗性噪声，为准确分类做好了准备。扩散技术（之前仅限于图像生成）在对抗鲁棒性方面的应用是一项显著的创新，连接了人工智能研究的两个不同领域。

ImageNet数据集上的表现尤其值得关注，其中DDS方法在特定对抗条件下实现了71%的惊人准确率。与目前最先进发方法相比，精确率提高了14个百分点。这种性能的飞跃强调了该方法即使在受到对抗性扰动时也能保持高精度的能力。

这项研究通过巧妙地结合现有的去噪和分类技术，标志着对抗鲁棒性的重大进步，DDS方法提供了一种更有效、更容易实现的对抗攻击鲁棒性的方法。其卓越的性能无需额外的培训，在该领域树立了新的基准，并为更精简、更有效的对抗性防御策略开辟了道路。

这种创新方法在深度学习模型中的对抗稳健性的应用可以应用于各个领域：

• 自动驾驶车辆系统：通过提高对可能误导导航系统的对抗性攻击的抵抗力，增强安全性和决策可靠性。

• 网络安全：加强基于人工智能的威胁检测和响应系统，使其更有效地抵御旨在欺骗人工智能安全措施的复杂网络攻击。

• 医疗诊断成像：提高医疗诊断和患者数据分析中使用的人工智能工具的准确性和可靠性，确保抵御对抗性扰动的稳健性。

• 金融服务：Bolster的金融欺诈检测、市场分析和风险评估模型，保持金融预测和分析中对抗性操纵的完整性和有效性。

这些应用程序展示了利用先进的稳健性技术来增强关键和高风险环境中人工智能系统的安全性和可靠性的潜力。