戍天九思：AI发展进入岔路口，“隐身滤镜”开启反制AI新时代！

lameihua

　　8月3日，芝加哥大学计算机系官网报道了他们近期一项研究成果。科研人员发明了一种图片的“隐身滤镜”，经过该滤镜处理过的图片，人的肉眼几乎察觉不到任何变化。但是，AI算法在看到这些图片时，就会突然变成了“脸盲”，完全没有办法从图片里正确识别出人的头像来。论文中，科研人员用自己的照片进行了测试，以100%的成功率欺骗了目前微软、亚马逊和旷世科技的人脸识别算法。

　　▲上图左侧是照片原图，右侧是经过隐身滤镜处理之后，AI算法无法正确识别的图片，人的肉眼看不出两者的明显区别。

　　有了这项技术，以后我们再往朋友圈发照片之前，先用这款隐身滤镜处理一下，既不影响晒照片的效果，又可以防止我们的个人肖像被算法追踪，还是挺实用的。

　　为什么隐身滤镜能歁骗人工智能算法？

　　大家可能会好奇，图像识别可是人工智能最擅长的领域，而且识别准确度早已超过人类。为什么人类肉眼不会看走眼的人像却可以轻易地骗过人工智能呢？

　　原来AI识别技术，本质上是一种数据分类器。在AI算法里，任何一张照片都只不过是一串包含位置和色彩信息的数据。算法就是通过对图像数据的运算得出一些特征参数，再根据这些特征参数给照片进行合理的分类。比如，发现照片的特征参数跟特朗普的参数非常接近，于是就会判断照片里的人大概率是特朗普。也就是说，算法并不关心你是谁，而是关心你更像谁。

　　那么，如果照片的特征参数跟现有的类别都不太接近呢？——这很可能就是发现了一个新的用户，AI程序就会敏锐地创建一个新的分类。而且，随着该用户上传照片数量的增多，对他的识别也会越来越准，甚至还会根据这些照片中数据的关联性，分析出用户的居住地址、生活爱好，等等。于是，我们的个人隐私数据，就这么暴露了。

　　知道AI算法如何识别人脸的过程，想要骗过它就容易多了。算法不就是通过计算特征参数来识别身份的，我们能不能误导一下算法，让它算出来的参数更像别人呢？比如，我们如果能对自己照片里每一个像素都做一些肉眼无法察觉的微调，让照片微调之后的特征参数接近蓬佩奥的参数，不就能够让AI算法产生误判了么。

　　芝加哥大学研究人员正是采用这个思路，并且把这种微调的过程转化成了一个数学问题。也就是说，在原有图像数据基础上，想办法找到一个足够微弱的干扰向量，让叠加干扰向量之后的图片，接近一些已经存在的图像识别结果。AI算法就会把我们的照片误认为是已经存在的张三或者李四，我们自己的照片也就像是隐身了一样，淹没在现有大数据的海洋中。

　　也许是因为数据隐身太酷了，也许是AI技术识别和追踪人像太容易了，自从7月底研究人员在网站上开放了滤镜程序下载后，短短十几天里，下载就已超过10万。有了这个法宝，大家目前既能随心所欲地晒照片，又不用担心被AI算法跟踪了。

　　数据隐身对人工智能发展的几点启示

　　1956年夏，麦卡锡、明斯基等科学家在美国达特茅斯学院开会研讨“如何用机器模拟人的智能”，首次提出“人工智能”概念，标志着人工智能学科的诞生。目前，人工智能正在向“六会”（会听、会看、会说、会思考、会学习、会行动）方向上快速发展。很多这种类似研究反映出的关于AI算法的新特质，正在被快速地挖掘和运用起来，人工智能正在加速向奇点走近，值得我们持续关注和跟踪。笔者认为，有四大动向尤其值得关注和警惕。

　　启示之一：人工智能研究将出现“数据智能”与“数据干扰”两大领域。笔者一直关注人工智能的发展动向，看到芝加哥大学这项研究成果时，笔者第一感觉是：以隐身滤镜出现为标志，人工智能发展进入新的岔路口，出现数据智能与数据干扰两大领域，开始分道扬镳。

　　人工智能本质上是“数据智能”，“数据隐身”更准确地说应该叫“数据干扰”，这也可以说是反人工智能技术。“数据智能”与“数据干扰”是数据问题矛盾的两个方面，如同雷达与隐身、电子干扰与反干扰、污染与净化一样，因此，有“数据智能”技术迟早就会有“数据干扰”技术。

　　人工智能作为一种颠覆性技术，目前正在发生翻天覆地的变化，最先可能颠覆的就是军事领域、军队力量格局，反人工智能技术（数据干扰）出现，这一动向迫切需要引起国家和军队高层的高度关注和警惕，把握发展大势，加强战略预置和布局，同时抢占数据智能和数据干扰两大领域的战略制高点，防止看不起、看不懂而错失人工智能、错失数据经济这个大时代。

　　启示之二：人工智能技术非常脆弱，数据污染问题令人担忧。目前的人工智能技术，从某种程度上来说还叫“人工不智能”，常会犯一些人类不会犯的低级错误。我们常说，今天的人工智能算法是一个黑盒子，虽然我们不知道其内部的工作机制，但是经过足够多的数据训练之后，AI算法经常能够媲美甚至超越人类的判断力，仿佛具有一种神奇的能力。但是，该研究告诉我们：在经过一个原理并不复杂的数据隐身处理之后，即便像是微软、亚马逊这种经过海量数据训练的AI算法，也可能会把照片识别成任何我们想要误导的方向。这确实会让我们对当前AI算法的安全性产生深深的担忧。

　　人工智能本质上是利用数据解决问题，如果数据被污染、被干扰，就会让人工智能陷于危险之中，甚至掉入陷阱。该项研究说明人工智能是可能被干扰和利用的，而一旦被干扰、被利用、被垄断，后果也是很可怕的。因此，我们不得不思考和防范两大问题。

　　一方面，数据是数字经济时代的基础性战略资源，如何防止数据不会像水、土壤、空气那样被污染？如何避免重走像水、土壤、空气那样先污染后治理的老路将变得越来越现实？如何避免数据不被拥有网络霸权的国家垄断或者殖民？总之，数据的污染与净化也将逐渐成为全球关注的重大问题。

　　另一方面，如何避免数据污染导致AI算法学坏，又将是AI未来的一个新的研究方向。

　　启示之三：开启人工智能数据加密（数据干扰）新赛道。目前，人眼和AI识别图像的根本区别就在于：人眼识别是模糊的精确，AI识别是精确的模糊，而模糊的精确可能好过精确的模糊。表现在：AI不会犯小错误，但是，常犯低级的大错误。人不会犯大错误，但是，常犯小错误。但是，人工智能技术正在向高级智能方向发展。该研究让我们很直观地看到，AI算法在识别一张图片时，它的关注点跟人类识别图片的过程是不一样的，可以说算法关注的维度更多、更复杂。

　　具体来说，在我们人眼看来完全无法分辨区别的两张图片，在AI程序的分类标准下可以是截然不同的两组数据。在这个意义上，这款隐身滤镜欺骗的并不是AI算法，反而是人的大脑。按照这个思路延伸下去，这种隐身滤镜技术，未来还可能变成一种信息加密的手段，用来制造出一类我们人的感官无法分辨，只有AI算法能够识别内在区别的图像甚至音频数据。

　　毫无疑问，这种全新的加密技术可能最先用于军事领域，并对使用现有加密与窃密、干扰与反干扰技术的军队形成降维打击。

　　启示之四：未来智能化战争既是算法战，也是数据战。未来人工智能战争可能会出现两大类：一类是算法战——快速感知、认知和决策；另一类是数据战——数据干扰与反干扰。未来战争对抗方式将从“体系对抗”向“智能对抗”转变，“算法优势”和“数据优势”将主导战争优势，并成为决定性优势。因此，我们在关注算法战的同时，也要警惕数据战。