最新AI論文をキャッチアップ

GANを使用したAIへの攻撃!?生成画像を用いた初めての攻撃手法DaSTの登場!

GANを使用したAIへの攻撃!?生成画像を用いた初めての攻撃手法DaSTの登場!

画像認識

3つの要点
✔️ APIなどのBlack BoxなAIへの攻撃を実データなしで行う手法DaSTの提案
✔️ 攻撃対象となるモデルの代替モデルを、GANで生成した生成画像で学習

✔️ 実データを用いて学習させた代替モデルよりも高い攻撃成功率を達成

DaST: Data-free Substitute Training for Adversarial Attacks
written by Mingyi ZhouJing WuYipeng LiuShuaicheng LiuCe Zhu

Comments: Accepted by CVPR2020
Subjects: Cryptography and Security (cs.CR); Computer Vision and Pattern Recognition (cs.CV); Machine Learning (cs.LG)

はじめに

近年、AIへの攻撃が注目を集めています。これはAdversarial Attackと呼ばれ、人間が知覚できない程度の摂動を与えるだけで、AIモデルを騙すことができるというものです。一番有名な例として、下記の図のようにパンダをテナガザルに誤認識させるというものがあります。これは、中央の摂動を元の画像に与えるだけで、画像認識モデルはパンダをテナガザルに誤認識してしまうという例です。この摂動を与えた後の画像をAdversarial Example(AE)と呼びます。

特に、様々な分野で使用されて始めている深層学習手法に関するAdversarial Attackの研究は、非常にホットな分野で、攻撃と防御の手法がいたちごっこのように提案されています。

AIへの攻撃には、2つの設定があります。1つはWhite Boxという設定で、これは攻撃対象のモデルのすべての情報に攻撃者がアクセスできるという設定です。そしてもう1つはBlack Boxという設定で、GoogleやMicrosoftが展開しているAIモデルのように、攻撃対象のモデルの一部の情報にしかアクセスできないという設定です。Black Boxの設定は、現実世界で十分にあり得る設定であり、この設定でAIモデルを攻撃される手法が見つかると、非常に大きなリスクとなります。

今回、紹介する手法。DaSTはBlack Boxの設定で攻撃を行う手法であり、かつ従来の攻撃手法よりも攻撃の前提条件が大きく緩くなっており、非常に現実的な攻撃手法となっています。以下では、DaSTによる攻撃手法を詳細に解説します。

続きを読むには

(4506文字画像11枚)

AI-SCHOLARに
登録いただく必要があります。

1分で無料で簡単登録する

または
なかじめ avatar
元々画像認識を専門としていましたが、最近はセキュリティ分野、とくにバックドア攻撃に興味があり様々な論文を読んでいます。また、モデルの精度にはあまり興味がなく、これからAIが普及するにはどのような事が重要になってくるのか、といった視点で日々情報を収集しています。例えば、データのプライバシーや公平なAIに興味を持ち始めました。

記事の内容等について改善箇所などございましたら、
お問い合わせフォームよりAI-SCHOLAR編集部の方にご連絡を頂けますと幸いです。
どうぞよろしくお願いします。

お問い合わせする