人工智能中的盲点如何帮助促进在线隐私？
机器学习应用程序现在使检测癌细胞和制造防撞自动驾驶汽车成为可能。但是，与此同时，它也有可能颠覆我们对隐藏和可见内容的理解。
例如，它可以实现高度准确的面部识别，可以透视照片中的像素，甚至可以使用社交媒体上可用的数据来预测敏感特征，例如个人的政治取向，就像臭名昭著的Cambridge Analytica丑闻一样。
这些相同的机器学习应用程序遭受特殊的盲点，而人类通常不会这样做。这个盲点是固定的错误，可能使图像分类器将喷气式步枪误认为是步枪，或者通过停车标志创建自主且免费的车辆。所有这些错误分类都被称为对抗性示例，在一些机器学习应用程序中被视为令人讨厌的严重缺陷。只需对图像进行一些小调整，或将一些诱饵数据添加到数据库中，就很容易愚弄系统，以致得出完全错误的结论。
研究人员建议，攻击者越来越多地使用机器学习来损害用户的隐私，网络钓鱼（如网络钓鱼和恶意软件攻击）的复杂性日益增加证明了这一点。
但是，现在，此漏洞可以用作捍卫他人隐私的武器。已经做出努力来构造用于利用对抗性示例的方法，以使得重新识别和去匿名攻击降低了效率和可操作性。
让我们更多地了解盲点可以帮助增加在线隐私的工作。
虚假喜欢的冲刺
这家数据科学公司向数以千计的Facebook用户支付了几美元，以提供各种个人和政治问题的答案。给出的答案与他们的公开Facebook数据相关联。所有这些都是为了创建一组训练数据。后来，该公司使用该数据集训练了机器学习引擎。生成的模型可以基于公共Facebook数据预测私人政治观点和信念。
为了进一步检验该假设，一组研究人员使用了相应的数据集，即Google Play商店中的评论。他们在Google应用商店中收集了数百甚至数千个评分。所有这些评分都是由用户提出的，这些用户也在Google Plus个人资料上分享了他们的位置。
使用数据集训练了机器学习引擎，以根据用户的评分预测用户的家乡。研究得出的结论是，基于Google Play的喜好，某些机器学习技术可以在首次尝试时以大约44％的准确度识别用户所在的城市。
研究人员试图通过对抗性例子打破这种机器学习引擎。在以不同的方式修改数据后，发现添加一个伪造的应用程序评级会发现少量噪声，而该应用程序评级被选择用来发现不正确的城市。噪声降低了引擎预测的准确性，可回溯到随机猜测。因此，在很少的更改内，攻击者的效率就会降低，并且可以保护用户的个人资料。
但是，预测和保护用户数据的游戏到此为止。如果攻击者意识到对抗性示例可能正在保护数据免受分析的事实，则攻击者可以生成其对抗性示例以将其包括在训练数据集中。
这样一来，机器学习引擎将变得更加愚蠢。隐私捍卫者??可以通过添加一些对抗性示例来做出响应，以停止任何更强大的机器学习引擎，从而导致无休止的反击。即使攻击者使用任何机器学习，通过调整对抗性示例，也可以防止所有旨在破坏用户隐私的方法。
监视一只知更鸟
另一个研究小组还尝试了一种对抗性示例数据保护的形式，旨在解决预测和保护博弈。研究人员研究了对抗性示例如何防止VPN和匿名软件Tor之类的工具中可能的隐私泄露，该工具主要用于隐藏在线流量的目的地和来源。
可以访问途中访问加密的Web浏览数据的隐私入侵者可以使用机器学习来识别流量中的模式，这使间谍可以预测一个人正在访问哪个网站，甚至是特定页面。研究人员在测试中发现，众所周知的Web指纹识别技术可以识别95种可能性中的网站，准确性几乎达到98％。
研究人员发现，他们可以在加密的网络流量中添加诸如噪声之类的对抗性示例，以避免网络指纹。但是，他们走得更远，试图通过对抗训练来缩短对抗这些保护措施的对手。
为此，他们生成了针对Tor Web会话的对抗性示例调整的完整组合。在本次会议中，对流量的更改进行了汇总，其目的不是欺骗指纹引擎以另一种形式错误地检测网站的流量，而是对诱饵网站的大量流量进行了对抗性示例更改。
最终的系统因其组合的模仿策略而被研究人员称为“模仿鸟” ，与正常的Tor流量相比，带宽增加了约56％，这是一个很大的开销。这使指纹识别更加困难。机器学习模型预测的准确性下降到27％至57％之间。由于随机调整数据的方式，攻击者克服对抗训练变得极为困难。攻击者很难想出所有入侵用户隐私的可能性。
包起来
上述实验使用对抗性实例作为保护机制。相反，从隐私的角度来看，漏洞很有希望。而且，大多数学者都在研究机器学习将对抗性示例视为要解决的问题，而是将其作为一种利用机制。

关注 CDA人工智能学院 ，回复“录播”获取更多人工智能精选直播视频！