https://blog.openai.com/robust-adversarial-inputs/?spm=a2c4e.11153940.blogcont149583.11.4ab360c0mXrtX7

原文中包含視訊例子。

我們建立的影象可以在從不同的尺度和視角觀察時可靠地欺騙神經網路分類器。 這挑戰了上週聲稱自動駕駛汽車難以惡意欺騙，因為它們從多個尺度，角度，視角等捕獲影象。

這張印刷在標準彩色印表機上的小貓照片讓分類器誤以為它是一臺“顯示器”或“臺式電腦”，無論它是如何縮放或旋轉的。 我們期望進一步的引數調整也會刪除任何人類可見的偽像。

參照論文1.Synthesizing Robust Adversarial Examples

開箱即用的對抗樣本在影象轉換下失敗。 下面，我們展示了相同的貓圖片，由ImageNet上訓練的Inception v3錯誤地歸類為臺式計算機。 縮小至1.002會導致正確標籤“tabby cat”虎斑貓的分類概率覆蓋對抗性標籤“desktop computer”臺式計算機。

然而，我們懷疑積極的努力可以產生一個強大的對抗性的例子，因為已經證明對抗性的例子轉移到物理世界。（參照論文4.Adversarial examples in the physical world）

尺度不變的對抗樣本

可以使用稱為投影梯度下降（projected gradient descent ）

我們優化了大量隨機分類器，而不是優化用於從單個視點查詢對抗性的輸入，這些隨機分類器在對輸入進行分類之前隨機重新縮放輸入。 針對這樣的集合進行優化會產生強大的對稱示例，這些示例是規模不變的。

即使我們僅修改與貓相對應的畫素，我們也可以建立一個在所有所需尺度上同時具有對抗性的單個擾動影象。

轉換不變的對抗性例子

通過向我們的訓練擾動新增隨機旋轉，平移，縮放，噪聲和平均移位，相同的技術產生單個輸入，在任何這些變換下仍然是對抗的。

一個變換不變的對抗樣本。 請注意，它明顯比其規模不變的變體更加穩定。 這可能是基本的：直覺上可能的是，小的對抗性擾動更難找到一個不容改變樣本的更多變換。

我們的變換在測試時隨機抽樣，證明我們的例子對整個變換分佈是不變的。