即使有人工智能辅助人类程序员,风险依然留存。AI也会犯错。谷歌和马斯克独力支持的人工智能初创公司OpenAI的研究人员发表了一篇新论文,其中描述称,这些风险在正快速重造我们计算系统的新一类AI里十分明显,随着AI涌入到安全摄像头、传感器和遍布物理世界的其他设备中,此类风险有可能会造成严重后果。“这真的是每个人都应该认真思考的问题。”
幻视
作为AI的一种形式,深度神经网络可以通过分析海量数据学习各种任务。随着深度神经网络的兴起,我们跨入到了一个新纪元,编程计算服务逐步让位于训练计算服务。Facebook、谷歌和微软之类的互联网巨头里,这一切已经开始发生了。
通过馈送无数照片,小扎及其公司训练神经网络识别这个世界上最流行的社交网络上的无数人脸。通过大量口语集,谷歌训练神经网络识别安卓手机“听”到的语音命令。未来,这将是我们打造智能机器人和自动驾驶汽车的方式。
今天,神经网络已经能很好地识别人脸和口语了,更不用说物件、动物、标志和其他书面语。但是,错误的发生还是无法避免,有时候还会是惊人的错误。没有哪个机器学习系统是完美的。某些情况下,甚至可以耍弄这些系统“看到”或“听到”实际上并不存在的东西。
可以略微修改一幅图像,让神经网络以为里面包含了一些实际上不存在的东西。这种修改人眼可能发现不了——就是四处加了点像素。往大象的照片中加几个像素,甚至能让神经网络以为这是汽车的照片。这种修改过的照片被论文作者称作“敌对例子”。这里面就隐含了安全漏洞。
当神经网络被用于识别直接从摄像头或其他传感器收来的数据时,可能会引发问题。比如说,使用神经网络的人脸识别系统若用于绝密设施的访问控制,你可以往脸上画几个小点来让系统认为是另一个。
同类型的攻击可以用在几乎任何形式的机器学习上,不仅仅是神经网络,决策树和支持向量机之类长盛十几年的决策辅助型机器学习方法也规避不了。事实上,这类攻击或许已经在现实世界中上演了。金融公司就有可能对竞争对手的交易系统下手。他们可以构造一些交易,让竞争对手的系统在抵御实际价值的点位上就大量抛出股票,然后迅速买进。
这篇新论文中,通过将图像打印到纸上并展现给摄像头“看”,作者们成功骗过了神经网络。不过,更简单的方法或许也会起效,比如前文所述的在脸上画点点。现实世界中这么干行不行尚不能确定,但作者们的研究显示是有这个可能的。论文中已展示过摄像头可被骗过,其他攻击方法想必也不少,比如用人眼感觉不到的印记骗过人脸识别系统等。
难点
骗过AI绝不容易。但也没必要懂得神经网络设计的深层知识,也不用知道它是基于什么数据训练的。如之前的研究所展现的,如果能构建出“敌对例子”骗过自家神经网络,那对其他神经网络也可能有效。换句话说,能骗过一个图像识别系统,就可能骗过其他的。可以用另一个系统来构造敌对例子,那会提升成功率。
说这些安全漏洞比较小是很恰当的。它们是理论上的问题,但在现实世界中,攻击顺利执行还是很困难。除非攻击者发现了往脸上画点点的完美模式,否则不用有所期待。然而,此类漏洞真实存在。随着神经网络在现代世界扮演越来越重要的角色,我们必须堵上这些漏洞。怎么堵呢?打造更好的神经网络咯。
这事儿绝不是说说简单,但事情已经提上了议程。深度神经网络有意模仿人脑神经网的运作。这也就是为什么它们被称为神经网络的原因。但真的实现时,也不过是大规模的数学计算而已——层层叠加的微积分。这些数学计算是由人类组织的,也就是论文作者之类的研究人员。最终,是由他们控制这些系统,而他们已着手找寻清除这些安全漏洞的方法了。
选择之一,是在神经网络的训练中集成进敌对例子,教会它们识别真品与敌对例子之间的区别。不过,其他的选项也在研究人员的考虑之中。他们不是很确定哪些会起效而哪些完全是无用功。一如既往,最终还是人类自身必须变得更好才行。