DARPA与英特尔乔治亚理工学院合作防御机器学习算法对抗欺骗攻击

机器学习系统在面部识别系统到自主车辆等所有领域的普及，伴随着攻击者想方设法欺骗算法的风险。简单的技术已经在测试条件下起了作用，研究人员有兴趣找到减轻这些和其他攻击的方法。国防部高级研究项目局（DARPA）已经找来了英特尔和佐治亚理工学院（Georgia Tech），负责领导旨在防御机器学习算法对抗欺骗攻击的研究。

欺骗攻击在实验室测试之外很少见，但在实操环境下可能会造成重大问题。例如，McAfee早在2月份就曾报道，研究人员通过在限速标志上贴上两英寸的黑色电子胶带，欺骗了特斯拉Model S中的速度辅助系统，使其超速行驶50英里/小时。还有其他的例子也不胜枚举，这证明欺骗人工智能并不算困难，几乎谁都能做到。

DARPA认识到欺骗攻击可能会对任何使用机器学习的系统构成威胁，并希望主动出击，减轻这种企图。因此，大约一年前，该机构制定了一个名为GARD的计划，即Garanging AI Robustness against Deception的缩写。英特尔已经同意成为与乔治亚理工学院合作的四年期GARD计划的主要承包商。

"英特尔和佐治亚理工学院合作，共同推进生态系统对人工智能和ML漏洞的集体理解和能力，"DARPA GARD计划的首席工程师和研究人员Jason Martin说。"通过对相干技术的创新研究，我们正在合作研究一种方法，以增强对象检测，提高AI和ML应对对抗性攻击的能力。"

目前的欺骗缓解的主要问题是基于规则的、静态的设定。如果规则不被打破，欺骗就能成功。由于欺骗人工智能的方式几乎有无数种，仅仅受限于攻击者的想象力，因此需要开发出更好的系统。英特尔公司表示，该计划的初始阶段将着重于利用图像和视频中的空间、时间和语义的一致性来改进物体检测。

DARPA信息创新办公室的项目经理Hava Siegelmann博士设想的系统与人类的免疫系统并无不同，你可以把它称为另一个机器学习系统中的机器学习系统。

"我们希望产生的那种基于广泛场景的防御，可以在免疫系统中看到，比如说，免疫系统可以识别攻击，成功拦截后记住本次攻击的方式，以便在未来的交战中创造出更有效的反应。"Siegelmann博士说。"我们必须确保机器学习是安全的，不能被欺骗。"