在社交平台上,人们通常会给照片添加对抗性噪声,这种噪声对人类视觉几乎难以察觉,但能够干扰人脸识别AI,从而让人脸识别系统误判。然而,现实情况是,图片在上传至App后往往会被再次压缩,这使得这些噪声很容易被破坏,失去作用。面对这个问题,武汉大学国家网络安全学院与Adobe合作,把目标放在开发一种能够抵抗压缩的对抗样本上。 该研究团队提出了一个三步方案,命名为ComReAdv。第一步是构建包含原图与对应压缩图的数据集。他们通过大量抓取社交平台上的真实图片,模拟黑盒压缩过程,并将这些数据作为模型训练的基础。第二步是训练一个“山寨”压缩器,称为ComModel。该模型通过提取原图的多尺度纹理和空间内容特征来进行图像压缩与重构。当这个模型学习到足够多的压缩技巧时,它就能够近似任何未知压缩算法。第三步是将这个模型嵌入到生成对抗样本的优化目标中,使用MI-FGSM迭代算法生成抗压缩能力更强的对抗样本。 为了验证ComReAdv方法的有效性,研究团队进行了全面实验。他们对本地平台(如JPEG、JPEG2000、WEBP)和真实社交平台(如Facebook、微博、豆瓣)进行了测试。实验结果显示,ComReAdv在抗压缩能力上超过了现有的SOTA方法。即使经过不同平台的多次压缩,这个方法仍然能够保持对分类器的误导效果。在微博上,这个方法甚至达到了90%的误导率。 未来,研究团队计划进一步提升ComReAdv的抗压缩极限,并探索动态对抗技术以适应不同的网络环境。最终目标是让每一次分享都能够自带隐身衣,给隐私提供更好的保护。