图像缩放攻击

对于输入数据来说，每一个应用于图像处理方向的机器学习算法都有一系列的要求。这些要求主要包括图像的特定大小，但其他因素（如颜色通道的数量和颜色深度）也可能会被涉及到。

无论你是在训练一个机器学习模型，还是用该模型进行推理（分类、目标检测等），都需要对输入图像进行预处理以满足 AI 的输入要求。根据以上提及的所有需求，我们可以假定预处理过程通常需要将图像缩放到合适的大小。并且，就像我们通常在软件中遇到的情况一样，当黑客知道一个程序（或者至少是程序的一部分）工作过程的时候，他们会试图找到方法修改程序来谋取私利。而这就是图像缩放攻击发挥作用的地方。

图像缩放攻击的关键思想是在预处理阶段通过调整图像像素大小来改变输入图像的外观。事实上，机器学习和深度学习大多都使用一些众所周知且有文档记载的缩放算法。这些算法中的大多数（比如最近邻插值和双线性插值）都和 Photoshop 等用于图像编辑的应用程序使用的算法一样，这使得攻击者更容易设计出同时适用于多种机器学习算法的漏洞。

当图像被缩小时，进行缩放后的图像的每个像素都是源图像中像素块值的组合，其中执行这种转换的数学函数称为“核函数”。然而，并不是源像素块中的所有像素在核函数中的贡献是相等的（如果相等会使得调整后的图像会变得太模糊）。因此，在大多数算法中，核函数将更大的权重赋给更接近源像素块中间的像素。

在对抗性预处理中，攻击者获取一幅图像，并在正确的位置对像素值进行适当调整。当图像经过缩放算法后，它会变成目标图像。最后，再用机器学习算法处理修改后的图像。基本上，人眼看到的是源图像，而机器学习模型看到的是目标图像。

当攻击一个机器学习模型时，攻击者必须知道所使用的大小调整算法的类型和核函数的核大小。由于大多数机器学习库中只有很少的缩放选项，因此研究人员通过实验发现攻击者只需尝试几次就能得到正确的参数设置。

在 TechTalks 的评论中，IBM Research 的首席科学家 Chen Pin－Yu 将图像缩放与隐写术（steganography）进行了比较，后者将消息（这里是缩小后的图像）嵌入源图像中，只能采用缩小后的算法进行解码。

写过几篇关于对抗性机器学习论文的 Chen 说：“我很好奇这种攻击是否也与图像缩放算法无关。但基于通用摄动的成功，我认为通用图像缩放攻击也是可行的。”

图像缩放攻击示例

对于机器学习算法方向的图像缩放攻击主要有两种情况。其中一种攻击类型是创建在经过训练后的机器学习算法中产生错误预测的对抗性实例。但研究人员在他们的论文中指出，或许“数据中毒”攻击才是图像缩放的更大威胁。

而“数据中毒”是一种对抗性攻击，在当机器学习模型调整其参数到图像的成千上万像素这一训练阶段时发生。如果攻击者能够访问并篡改训练中使用的数据集，就能够让机器学习模型在对抗性示例上进行训练。

示例一：

假设有一家公司正在开发一种面部识别系统，以控制在处理敏感材料区域的访问权限。为了做到这一点，该公司的工程师们正在训练一个卷积神经网络来检测授权员工的脸部。

当团队正在收集训练数据集时，一个有意破坏的员工偷偷地将一些篡改过的图像隐藏在未经授权的员工的面部照片中。在训练了神经网络之后，工程师们为了确保系统能正确地检测到被授权的员工，对其进行测试。他们还会检查一些随机图像，以确保 AI 算法不会将访问权限错误地授予给非授权人员。

但这就存在一个问题，只有他们明确地检查对抗性攻击中被攻击者脸部的机器学习模型，他们才会发现被恶意篡改的数据。