对抗样本是通过稍微修改实际样本而构造出的合成样本，以便于一个分类器以高置信度认为它们属于错误的分类。垃圾类的样本（如fooling images）是病态样本，即使它们不属于任意一个类，分类模型也会把它们以高置信度划分到某一个类别中去。

一个对抗样本，修改一张熊猫的图片，让机器学习模型将它识别成一只长臂猿。

使用32位浮点值作为网络的输入来执行修改，这个改变是如此的小以至于不会改变出版图像的8位表示。更多细节请参考这篇论文。

这些错误抓住了公众的想象力。在兴奋之余，关于对抗样本的一些误解已经广泛传播。在这篇博客中，我列出了其中的一些误解。

1. 神话：对抗样本并不重要，因为它们不会出现在实践中。

事实：的确，对抗样本不太可能自然发生。然而，对抗样本至关重要，因为训练一个模型来抵制它们，可以提高其非对抗样本的准确性。对抗样本也可能在实践中发生，如果它们的确是对抗性的。例如垃圾邮件发送者试图骗过垃圾邮件检测系统。

训练一个网络来正确分类对抗样本，降低它在训练数据集上的错误率，即使测试数据集的样本没有被扰动。这种技术提升了在MNIST数据集上的最高水平。

2. 神话：深度学习比其他类型的机器学习更容易受到对抗样本的干扰。

事实：到目前为止，我们已经能够为我们测试过的每一个模型生成对抗样本，包括像最邻近这样的最传统的机器学习模型。深度学习是目前为止对对抗训练最有抵抗性的技术。

3. 神话：对抗样本是由极度非线性深度模型导致。

事实：我们最近的实验表明，深度模型的表现是非常线性的。线性模型在外推远离训练数据的区域有着极度的优势。这也解释了对抗性和垃圾分类样本中发生的很多错误。

我们可以描绘出一个输入空间中的线性路径，通过对一张清晰的汽车图像添加不同的对抗性微扰。这里，我们将比例因子范围从-10到+10来绘制出这条线性路径。我们看到，网络的logits输出在远离数据的地方表现为线性。这将导致网络的预测变得极端，垃圾类输入数据以高置信度归为有意义分类。

4. 神话：对抗样本在小数据中很难找到或发生。

事实：空间中的大多数任意点都被误判。例如，我们测试的一个网络，把大约70%的噪声样本以高置信度归类为马。

5. 神话：我们能做到最好的是识别和拒绝处理对抗样本。

事实：拒绝处理对抗样本比将它错误分类要好，不过这不是一个令人满意的解决方案。如果真是一个对抗样本，如垃圾邮件发送者，对抗样本仍然可以通过产生系统拒绝分类的样本而占优势。我们知道这可能是正确分类的对抗样本，因为人们不会被它们迷惑，这也是我们设计模型的目标。

6. 神话：攻击者必须访问到模型才能产生对抗样本。

事实：对抗样本在整个网络中扩散，用来训练执行相同的任务，即使这些模型有不同的架构，由不同训练数据集训练。这意味着攻击者可以训练自己的模型，产生对抗模型来对抗目标模型，然后将这些对抗样本部署到他们不能访问的模型中。

7. 神话：对抗样本可以很容易地用标准正则化技术解决。

事实：我们已经测试了几种传统的正则化策略，包括均化多重模型，均化图像多采样观测（multiple glimpses），用时延权重或噪声训练模型，通过生成模型的推断进行分类，结果均以失败告终。

8. 神话：没人知道人脑是否也会犯相似的错误。

事实：神经学家和心理学家通常研究幻觉和认知偏差。虽然我们无法进入我们的大脑，但是我们可以确认我们没有像现代机器学习那样被同一种对抗样本所影响。如果我们的大脑和机器学习模型一样犯了同样的错误，那么由于交叉模型的泛化属性，机器学习模型的对抗样本将会使我们产生视觉错乱。

总之，对抗样本是一个顽固的问题，研究如何克服它们可以帮助我们避免潜在的安全问题，并且会让机器学习算法对所要解决的问题有一个更准确的了解。

推荐阅读

• 60款顶级大数据开源工具
• Excel最常用的79个快捷键
• 大数据的十大局限
• 不同领域开发工具 Top 50