我们知道,目前绝大多数图像识别模型都是基于神经网络算法构造的。这种算法通过建立多重隐藏层和计算单元间复杂的连接关系,对图像信息进行层层分解和抽象,从而构造出包含图像内多重信息特征的特征图。如明暗、颜色、形状、相互关系等等。最后通过特征图内多重特征信息的判别最终完成对于图像的整体判别。
人类显然不是这样进行图像识别的。如果识别机理相似,那欺骗AI的方式应该会对人类有起码的干扰作用,但这些对于AI模型的干扰效果从人类的角度来看都像是笑话。
人类的大脑皮层对于图像和形状的判别机制目前几乎是未知的。最新科技创造出的AI模型判别方式只是在某些方面达到了近似人类图像识别的效果,但千万不要认为AI真的认识图像或形状,它只是以一种你无法理解的方式对于图像进行标记和识别。
为什么谷歌公司历时三年,都最终无法建立准确识别灵长类动物和黑人的AI模型?这就是原因。因为判别方式的天差地别,一个对于人类的简单任务,到了AI模型面前却成为巨大的挑战。
真实世界的理性判断
目前,绝大部分人工智能模型都是基于神经网络这样的“黑盒子”模型构建而成。虽然在绝大多数场景下,模型都能够做出准确度较高的识别和预测。但识别和预测规则完全不透明的情况下,连研究者自己都不知道模型的判断规则。这意味着一旦人工智能被发现某些特定的缺陷,将有机会对其进行有针对性的欺骗。所以,AI模型图像识别的缺陷有可能会在部分行业应用中导致严重的后果。
2017年9月,伯克利等四所大学的联合项目组进一步研究了AI在自动驾驶系统中的应用。
项目组发现,只要在现有的交通标志上粘贴少量图形,就可以诱导自动驾驶系统把“停牌”标志识别为“限速”标志。
由于这些欺骗手段对于自动驾驶系统判别结果的干扰非常成功,这篇论文的标题甚至使用了“来自真实世界的稳健性攻击——面向深度学习模型”(Robust Physical-World Attacks on Deep Learning Models)这样字眼。
这些案例都是对被识别图像进行少量的显著修改来欺骗AI模型,由于这些修改相对明显,人眼还可以主动识别出来。部分更加复杂的攻击有可能以人类无法察觉的方式进行。
同样还是谷歌的图像识别模型,在正确识别的基础上,麻省理工的研究者只是修改了少量的图形像素,同样达到了欺骗模型的目的,把枪支识别为直升机。而修改前和修改后的这两张图,人眼看来完全一样。
所以,目前的AI模型,起码在图像识别领域,是可以被人为欺骗的。而欺骗的手段五花八门,甚至可以使用人类肉眼完全无法识别的方式进行。
阿里巴巴和微软的AI模型在阅读理解测试方面超过了人类。其实这一事件的意义并不是像普通大众想象的那样,AI模型已经可以比人类更好地理解文章内容了。
既然是阅读理解测试,那么决定最终成绩的是测试结果。通过成绩单可以总结出来,这个阅读理解测试其实是回答填空题。填空题的答案是出现在文章中的某个日期、时间、对象等。
对阅读理解考试有丰富经验的人了解,先不通读文章,能够立即开始答题吗?答案一定是可以。根据问题找答案,问时间找时间,问地点找地点,问对象根据上下文找名词。不用阅读文章并理解整篇文章的主旨,人类可以蒙对很多答案。
同样地,对于AI模型来说,它只是建立了词与词、词组与词组的关联关系,并结合上下文的位置信息,提供模型判别概率最高的答案。
如果你认为AI模型真的理解了它所阅读的文章,那你就是用人类思维去套用AI的模型构造方式,这是完全不对的。最终AI模型只是根据文章形成词与词的关联关系,并使用这一关联关系回答问题。
所以,千万不要相信,AI系统现在已经完全具备了识别、判断甚至认知的功能。因为,AI目前具有的这些功能和人类通常意义上的理解是完全不同的。并且,我们也无法完全信任一个AI系统——现有的AI是非常容易被欺骗的,而且欺骗的操作可以非常简单,这对于大众认识AI并合理使用AI是非常重要的。
(作者为科技与互联网资深分析师,编辑:谢丽容)
(本文首刊于2018年2月5日出版的《财经》杂志)