当前位置
主页 > 成功案例 >
炸了!这届ICLR论文被指太“渣”?Goodfellow围追堵截要说法
2021-08-09 00:29
本文摘要:安妮 夏乙 发自 凹非寺量子位 出品 | 民众号 QbitAI搞机械学习的这帮人在Twitter上又炸了。起因是一名叫Anish Athalye的小哥率先“放出狠话”。“反抗样本防御仍是一个未解决的问题,三天前的ICLR吸收论文中,7/8关于防御的论文已经被我们攻破。 ”此外,Athaly还在GitHub上放出了自己的论文和repo支持自己的说法。也就是说,他们认为这届深度学习顶会ICLR的相关论文太渣了?不得了。

华体会体育

安妮 夏乙 发自 凹非寺量子位 出品 | 民众号 QbitAI搞机械学习的这帮人在Twitter上又炸了。起因是一名叫Anish Athalye的小哥率先“放出狠话”。“反抗样本防御仍是一个未解决的问题,三天前的ICLR吸收论文中,7/8关于防御的论文已经被我们攻破。

”此外,Athaly还在GitHub上放出了自己的论文和repo支持自己的说法。也就是说,他们认为这届深度学习顶会ICLR的相关论文太渣了?不得了。一时间,各方大神纷纷赶来或围观或质疑或膜拜,谷歌大脑Jeff Dean也前来看戏。

他们在吵什么?举个例子。在上面这张图片中,一张花斑猫的图像经由轻微扰乱后,就受骗过AI,被InceptionV3分类器错误的识别成了牛油果沙拉酱。就是这么神奇。

人眼看起来完全不像的两类物体,怎么就被分类器混淆了呢?早在2013年的论文Intriguing properties of neural networks中,一作Christian Szegedy就提出梯度下降的方法可以轻松合成出欺骗分类器的图像。而这次Athalye等人这篇12页的论文中指出,当前大多数反抗样本防御方法依赖梯度混淆(obfuscated gradients),通过给attaker错误的梯度使基于梯度下降的反抗样本失效。这种防御方式可能会导致对反抗样本防御宁静感的错误判断。

相关论文:Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial Exampleshttps://arxiv.org/abs/1802.00420论文中指出,基于这种技术的防御已经是已往时了,他们的方法可以克服对梯度混淆的依赖。之后,他们研究了ICLR 2018吸收的有关反抗样本防御的8篇论文论文,发现8个系统中的7个依赖于梯度混淆,并用新方法对这8篇ICLR论文中的方法举行测试,效果如下:只有Aleksander Madry等人的方法在此攻击下准确率到达47%,其他7篇中提到的方法准确率甚至降为0%。这么恐怖么?!来者不“善”这位在Twitter上公然叫板顶会论文的小哥Anish Athalye究竟何许人也?据LinkedIn和GitHub上的资料显示,小哥现在是MIT盘算机科学专业的博士生,同时也在OpenAI实习,此前也曾是谷歌实习生。

有意思的是,去年12月在海内引发烧议的“谷歌AI将乌龟认成步枪”事件,也是Athalye的杰作。△ Athalye等人的反抗性攻击研究让谷歌AI将一只3D打印的乌龟认成步枪除了论文一作Anish Athalye外,其他两位作者也不是轻易之辈。

Nicholas Carlini现在是UC伯克利盘算机宁静专业的博士生,David Wagner是他的导师。去年3月,两人曾协力研发出小有名气的构建反抗样本的方法CW attack(The Carlini and Wagner),将论文Explaining And Harnessing Adversarial Examples中提到的攻击方式转化成更高效的优化问题。Goodfellow围追堵截要说法Paper和GitHub repo一出,把反抗样例攻击和防御这个领域一手拉扯大的Ian Goodfellow连忙坐不住了,在GitHub上一连提了两条意见(issue),跑到Reddit社区回帖,还在论文一作Anish Athalye的twitter下留了言,可谓到处围追堵截,要作者们放学别走,给个说法。Goodfellow的意见总结起来,主要是两点。

一是ICLR 2018一共吸收了至少11篇关于反抗样例防御的论文,这篇论文只用了8篇,需要说清楚并非全部;二是这篇论文提出的“混淆梯度(obfuscated gradients)”,简直就是给“著名”的“梯度掩码(gradient masking)”起了个体名。我们来划分看一下。

第一条意见很简朴,主要是因为Athalye等人行文不严谨引起的。在论文中,他们说从ICLR 2018吸收的反抗样例防御论文中清除了3篇,其中两篇有已经证实的防御方法,一篇只针对一种黑盒情况。可是在论文摘要和GitHub repo里没有说清楚。

Goodfellow建议严谨地写成“所有未经证实的白盒场景下的防御”。几位作者也说,明后天上传更新版论文,会纠正这个问题。第二条意见就严重多了:Goodfellow指责这篇论文提出的混淆梯度并非独创,和前人(包罗他自己)讲了又讲的“梯度掩码”是一样的。这就比力尴尬了。

二作Nicholas Carlini在GitHub上作出了比力“柔软”的回应,大致意思是我一开始也纠结要不要叫这个名字,但厥后以为,混淆梯度和梯度掩码还是有区此外,梯度掩码保留了大部门梯度信号,我们说的混淆梯度,整体上梯度都是庞大的。说他的回应“柔软”,主要是因为他在其中认可“可能这个决议是错误的”、“如果研究人员们认为我错了,想叫梯度掩码,我也OK”。除了Goodfellow之外,另一位研究者Florian也和他们讨论过这个问题。

为了让后生晚辈更深刻地明白梯度掩码,Goodfellow还给Athalye等人推荐了一串参考文献:Practical Black-Box Attacks against Machine LearningNicolas Papernot, Patr。


本文关键词:炸了,这届,ICLR,论文,华体会体育平台,被指,太,“,渣,”,Goodfellow

本文来源:华体会体育-www.fengshangchina.com

联系方式

电话:036-90909239

传真:011-787582758

邮箱:admin@fengshangchina.com

地址:辽宁省朝阳市泗阳县电化大楼3678号