【赛迪网讯】从人脸对抗识别比赛到ImageNet图像对抗比赛,再到辱骂场景文本对抗比赛、通用目标检测的对抗攻击,以及最新一期的伪造图像的对抗攻击,由阿里安全和清华大学联合举办的安全AI挑战者计划已经从2019年8月到2020年9月,连续成功举办了五期。每一期的比赛都是精彩绝伦,更是惊喜不断。10月12日,安全AI挑战者计划又开启了图像取证的新赛道。
安全AI挑战者计划的最大特点是,以系列竞赛贯穿全年,主打高难度、高创新、高趣味、高回报的题目任务和运营玩法。每一期差异化的呈现,既满足年轻技术爱好者猎奇求新的偏好,又激发了选手剑走偏锋的奇思妙想,将思路方法持续的沉淀到技术社区,将互联网大企业、优秀科研院校的私有经验公有化,每一期都能够实现超预期的技术成就。
第一期:人脸识别对抗
人脸识别系统作为人工智能领域最成熟的应用之一,已经大规模落地并服务于人们的日常生活,例如基于二代身份证的实人认证,刷脸支付,人脸闸机验证等。但是,在大规模商业化的同时,人脸识别技术也面临很多方面的威胁。人脸对抗样本通过对人脸图像做微小的改动,有可能欺骗AI系统做出错误的决断,破坏实人认证系统,将会给社会造成重大的损失。
阿里安全资深算法专家觉奥介绍,此次比赛模拟人脸场景下的对抗攻击。在不知道模型详细信息的前提下,选手在线下对测试人脸图像样本进行修改,然后提交至线上进行攻击测试。
第二期:ImageNet图像分类对抗攻击
图像分类作为人工智能领域最典型的任务之一,是计算机视觉系统的基础,许多计算机视觉任务(如物体检测、图像分割等)都是在图像分类模型的基础上进行微调从而得到的。然而,基于机器学习的分类器对于对抗样本是高度敏感的。对抗样本是攻击者对原始输入样本添加微小的扰动,使得分类器发生预测错误的样本。攻击者通过对抗样本欺骗图像分类模型,会在很多实际系统中带来巨大的安全隐患。
觉奥介绍,此次比赛针对图像分类模型进行对抗攻击。为了模拟更加困难且真实的攻击场景,阿里安全挑选了3个性能良好的防御模型作为被攻击模型。选手需要在不知道模型详细信息的前提下,构造有目标或者无目标的对抗样本。其中有目标的对抗样本需要被模型识别为特定类别;无目标的对抗样本需要被错分为任意类别,但是有目标和无目标攻击的难度不一样,所以设置的得分也不一样。选手在线下对测试样本进行修改,然后提交至线上做攻击测试。
第三期:文本分类对抗攻击
本次比赛的任务为辱骂场景对抗攻击,基于辱骂文本生成对抗样本,使模型识别错误,同时扰动较小,并且不影响辱骂性质。
阿里安全高级算法专家开阳介绍,举办这场比赛是为了助力建设清朗的网络环境,在一些论坛或者评论场景,以及现在特别火的直播弹幕中,经常会有一些暴力辱骂内容,会影响涉世未深的青少年。阿里安全与业界其他公司都会研究相关内容防护的检测引擎,由于自然语言博大精深,很多发表辱骂和色情发言的人会想尽各种办法突破引擎检测,发表一些“内涵”内容,这里就存在着激烈的对抗,如果被机器拦截,他们可能会换一种说法,希望通过这样的比赛,让参赛者可以利用基于AI的文本生成技术,对原始辱骂的文本进行生成变异,一方面可以检验防守模型的能力,另一方面能提供更多的防守思路,让守卫者发现更多变异方式,帮助AI训练更好的模型。
第四期:通用目标检测的对抗攻击
深度神经网络已经在各种视觉识别问题上取得了最先进的性能。尽管取得了极大成功,深度神经网络很容易遭受输入上微小和不可察觉的干扰导致的误分类(这些输入也被称作对抗样本),深度模型的安全问题也在业内引起了不少担忧。
为了发现目标检测模型的脆弱性、为此领域的工作者敲响警钟。安全AI挑战者计划举办了全球首个结合黑盒白盒场景,针对多种目标检测模型的对抗攻击竞赛。比赛采用COCO数据集,其中包含20类物体。任务是通过向原始图像中添加对抗补丁的方式,使得典型的目标检测模型不能够检测到图像中的物体,绕过目标定位。为了更好的评价选手的攻击效果,安全AI挑战者计划创造了全新的得分计算准则。除了考虑攻击成功率之外,还对添加补丁的数量和大小进行了约束。选手添加的补丁数量、修改的像素和模型识别到的包围盒越少,则代表攻击更加成功,得分则越高。为了保证比赛的难度,安全AI挑战者计划选取了4个近期的State-of-the-art检测模型作为攻击目标,包括两个白盒模型——YOLO v4和Faster RCNN和另外两个未知的黑盒模型。
觉奥介绍,本次比赛对于参赛选手是个既前沿又热门的领域,包括对抗补丁攻击的迁移性等都仍未被深入研究。参赛选手挑战高难度目标检测攻击场景,或者宝贵经验的同时,也可以进一步钻研,把在比赛中的一些经验和技巧转化为学术论文,工程和学术两不误。
第五期:伪造图像的篡改检测
赛道1(10月4日10:00AM (UTC+8)结束)
随着各种P图工具的普及,篡改伪造出视觉无痕迹的假图门槛大幅降低,于是发现大量的假图用于散播谣言、编造虚假新闻、非法获取经济利益,更有甚者,还可能会被用来恶意地充当法庭证据。图像取证正是用于检测篡改伪造图像的技术,经过十多年的发展,已经在新闻、司法、刑侦等领域广泛应用。但是随着各种反取证技术的出现,图像的真伪鉴定问题进入到了攻防双方博弈的阶段,到底是“道高一尺”(取证技术),还是“魔高一丈”(反取证技术)呢?
阿里安全资深安全专家杭特介绍,为了发现现有图像取证技术的不足,推进图像取证技术在更广泛领域的应用,安全AI挑战者计划举办全球首个针对证件资质文档类图像的伪造图像对抗攻击竞赛。区别于以往的图像取证比赛专注于自然内容图像,更关注能够用于表征权利人权益的证明材料图像。比赛采用的数据为证书文档类图像,其中包括10类不同图像。任务是通过对原始图像的特定候选区域进行伪造篡改(P图),做到视觉无伪造痕迹,并且让提供的图像取证模型无法识别篡改。为了更好地评价选手的攻击效果,安全AI挑战者计划设计了全面的得分计算准则。除了加入攻击成功率之外,还对伪造篡改的像素面积和图像视觉质量进行了约束。
赛道2(10月12日10:00AM (UTC+8)开启,赛道1报名选手无需重复报名)
伪造图像的对抗攻击比赛的赛道1——攻击比赛已经接近尾声,很多高质量的P图不但骗过人眼,还成功骗过我们提供的4个经典检测模型,是否真的是“魔高一丈”(反取证技术)?对抗攻击比赛开始进入赛道2——检测比赛在10月12日10:00AM (UTC+8)拉开帷幕!设计出“火眼金睛”(检测算法),把别人的“挖坑”(篡改区域)一一识别出来。区别于以往的图像取证比赛专注于自然内容图像,这项比赛采用的数据为大量伪造的证书文档类图像。任务是通过提供的训练集学习出有效的检测算法,对测试集的伪造图像进行篡改定位。为了更好的评价选手的检测定位效果,主办方设计了全面的得分计算准则。
杭特强调,本次比赛对于参赛选手是个前沿且有挑战的领域,针对伪造文档资质类的图像取证技术仍未被深入研究。参赛选手挑战图像取证技术,获取宝贵经验的同时,也可以进一步钻研,把在比赛中的一些经验和技巧转化为学术论文,工程和学术两不误。
安全AI挑战者计划背景
安全AI挑战者计划运营负责人花姝介绍,安全AI挑战者计划在2019年8月由阿里安全和清华发起。由于AI学习能力越来越强,已经逐步应用到了社会的各个实际场景中,比如流量识别、人脸识别、假货识别、假图识别等等。但AI模型本身存在很多安全问题,这时候关注的其实就是对抗样本等一系列的安全问题,包括身份验证、城市大脑和医疗健康等等。
阿里安全联合清华张钹院士的团队,为了抵抗未来AI面临的安全风险,以对抗样本为核心,提供场景、技术、数据、算力等支持,召集“挑战者”以防守者的身份共同打磨AI模型安全;为广大安全爱好者提供数字基建安全的试炼场,在高难度的真实环境中提升技术,培养真正有安全实战能力的安全基建人才。
本次大赛为长期赛,目前已经吸引全球200多所高校100多家企业的6000多支队伍参加,甚至有不少高校,将安全AI挑战者计划作为学生的实践课,有的选手甚至场场积极地参与其中。
花姝强调,每一期挑战者计划结束之后,都能出现一些新的攻击方法,同时也有一些新的防御方法,这样不管是对于阿里,还是清华,甚至对整个社区而言,都能够把对抗样本理论化、体系化。本次比赛与其他比赛的不同之处在于,在赛事中让安全和AI真正结合起来,在实战演练中培养选手的能力,打造顶级安全AI赛事。
总结
安全AI挑战者计划的题目是高难度的,规则是高创新的,玩法是高趣味的,奖金和荣誉也是高回报的。综合看来,每一期的比赛都是有差异化的呈现,满足年轻人求新的偏好,即使是看上去属于传统安全领域的赛题,也可以通过创新的比赛方式培养选手的兴趣,比赛后选手也可以把自己的思路沉淀到阿里云天池技术社区,这样不参加比赛的人也能看到头部选手的创新想法和技术经验,为广大安全爱好者提供数字基建安全的试炼场,培养真正有安全实战能力的安全基建人才。期待后续有更多高难度、高创新、高趣味的赛事出现。(文/ 徐培炎)