15.1 对抗样本现象:白盒攻击、黑盒攻击与物理世界攻击
深度神经网络等机器学习模型虽然在众多任务中表现出色,但其决策过程被发现存在一个普遍且严重的脆弱性:对抗样本攻击。对抗样本是指通过对原始输入施加人类难以察觉的细微扰动,从而能够导致模型以高置信度做出错误预测的恶意样本。这一现象自被系统揭示以来,已成为人工智能安全领域的核心研究议题。对抗样本的存在不仅揭示了模型决策边界的高度复杂与非直观特性,更对将AI系统部署于安全关键领域(如自动驾驶、金融风控、身份认证)构成了现实威胁。根据攻击者对目标模型信息的掌握程度以及攻击发生的领域,对抗样本攻击主要可分为三大类:白盒攻击、黑盒攻击与物理世界攻击。本节将系统阐述这三类攻击的核心概念、主流方法、技术挑战及其内在关联。
15.1.1 白盒攻击:完全信息下的精确优化
白盒攻击是攻击条件最为理想的一种场景。在此设定下,攻击者被假设拥有关于目标模型的全部知识,包括但不限于模型的具体架构、所有参数(权重与偏置)、所使用的激活函数以及训练过程的细节。这种完全的透明度使得攻击者能够直接利用模型的梯度信息,通过优化算法精确地构造对抗扰动。
15.1.1.1 基本数学框架
白盒攻击通常被形式化为一个有约束的优化问题。给定一个分类模型fff,一个原始干净样本x\mathbf{x}x及其真实标签yyy,攻击者的目标是寻找一个扰动δ\deltaδ,使得扰动后的样本x′=x+δ\mathbf{x}' = \mathbf{x} + \deltax′=x+δ满足:
- 对抗性:f(x′)≠yf(\mathbf{x}') \neq yf(x′)=y(非目标攻击)或f(x′)=ytargetf(\mathbf{x}') = y_{target}f(x′)=ytarget(目标攻击,ytargety_{target}
