圖像縮放攻擊

對于輸入數(shù)據(jù)來說，每一個應用于圖像處理方向的機器學習算法都有一系列的要求。這些要求主要包括圖像的特定大小，但其他因素（如顏色通道的數(shù)量和顏色深度）也可能會被涉及到。

無論你是在訓練一個機器學習模型，還是用該模型進行推理（分類、目標檢測等），都需要對輸入圖像進行預處理以滿足 AI 的輸入要求。根據(jù)以上提及的所有需求，我們可以假定預處理過程通常需要將圖像縮放到合適的大小。并且，就像我們通常在軟件中遇到的情況一樣，當黑客知道一個程序（或者至少是程序的一部分）工作過程的時候，他們會試圖找到方法修改程序來謀取私利。而這就是圖像縮放攻擊發(fā)揮作用的地方。

圖像縮放攻擊的關(guān)鍵思想是在預處理階段通過調(diào)整圖像像素大小來改變輸入圖像的外觀。事實上，機器學習和深度學習大多都使用一些眾所周知且有文檔記載的縮放算法。這些算法中的大多數(shù)（比如最近鄰插值和雙線性插值）都和 Photoshop 等用于圖像編輯的應用程序使用的算法一樣，這使得攻擊者更容易設計出同時適用于多種機器學習算法的漏洞。

當圖像被縮小時，進行縮放后的圖像的每個像素都是源圖像中像素塊值的組合，其中執(zhí)行這種轉(zhuǎn)換的數(shù)學函數(shù)稱為“核函數(shù)”。然而，并不是源像素塊中的所有像素在核函數(shù)中的貢獻是相等的（如果相等會使得調(diào)整后的圖像會變得太模糊）。因此，在大多數(shù)算法中，核函數(shù)將更大的權(quán)重賦給更接近源像素塊中間的像素。

在對抗性預處理中，攻擊者獲取一幅圖像，并在正確的位置對像素值進行適當調(diào)整。當圖像經(jīng)過縮放算法后，它會變成目標圖像。最后，再用機器學習算法處理修改后的圖像�；�本上，人眼看到的是源圖像，而機器學習模型看到的是目標圖像。

當攻擊一個機器學習模型時，攻擊者必須知道所使用的大小調(diào)整算法的類型和核函數(shù)的核大小。由于大多數(shù)機器學習庫中只有很少的縮放選項，因此研究人員通過實驗發(fā)現(xiàn)攻擊者只需嘗試幾次就能得到正確的參數(shù)設置。

在 TechTalks 的評論中，IBM Research 的首席科學家 Chen Pin－Yu 將圖像縮放與隱寫術(shù)（steganography）進行了比較，后者將消息（這里是縮小后的圖像）嵌入源圖像中，只能采用縮小后的算法進行解碼。

寫過幾篇關(guān)于對抗性機器學習論文的 Chen 說：“我很好奇這種攻擊是否也與圖像縮放算法無關(guān)。但基于通用攝動的成功，我認為通用圖像縮放攻擊也是可行的�！�

圖像縮放攻擊示例

對于機器學習算法方向的圖像縮放攻擊主要有兩種情況。其中一種攻擊類型是創(chuàng)建在經(jīng)過訓練后的機器學習算法中產(chǎn)生錯誤預測的對抗性實例。但研究人員在他們的論文中指出，或許“數(shù)據(jù)中毒”攻擊才是圖像縮放的更大威脅。

而“數(shù)據(jù)中毒”是一種對抗性攻擊，在當機器學習模型調(diào)整其參數(shù)到圖像的成千上萬像素這一訓練階段時發(fā)生。如果攻擊者能夠訪問并篡改訓練中使用的數(shù)據(jù)集，就能夠讓機器學習模型在對抗性示例上進行訓練。

示例一：

假設有一家公司正在開發(fā)一種面部識別系統(tǒng)，以控制在處理敏感材料區(qū)域的訪問權(quán)限。為了做到這一點，該公司的工程師們正在訓練一個卷積神經(jīng)網(wǎng)絡來檢測授權(quán)員工的臉部。

當團隊正在收集訓練數(shù)據(jù)集時，一個有意破壞的員工偷偷地將一些篡改過的圖像隱藏在未經(jīng)授權(quán)的員工的面部照片中。在訓練了神經(jīng)網(wǎng)絡之后，工程師們?yōu)榱舜_保系統(tǒng)能正確地檢測到被授權(quán)的員工，對其進行測試。他們還會檢查一些隨機圖像，以確保 AI 算法不會將訪問權(quán)限錯誤地授予給非授權(quán)人員。

但這就存在一個問題，只有他們明確地檢查對抗性攻擊中被攻擊者臉部的機器學習模型，他們才會發(fā)現(xiàn)被惡意篡改的數(shù)據(jù)。