隐形噪声的艺术：日本科学家如何用“幽灵笔触”骗过顶尖AI

更新时间：2026-01-24 18:53  浏览量：1

在人工智能日益渗透进我们生活的今天，从自动驾驶汽车识别路标到医疗系统诊断X光片，机器视觉的可靠性关乎生死。

然而，来自日本同志社大学的一项最新研究，向我们展示了这些看似强大的系统是多么脆弱，同时也为如何打造更坚不可摧的“数字盾牌”指明了方向。

研究人员开发了一种名为“输入频率自适应对抗扰动”（IFAP）的新技术，它能生成一种人眼几乎无法察觉、却能让AI瞬间“致盲”的特殊噪声，这种噪声巧妙地伪装成图像原本的纹理，不仅骗过了AI，甚至骗过了专门用来拦截攻击的安全过滤器。

要理解这项技术的突破性，我们首先需要了解“对抗攻击”的基本原理。

想象一下，你有一张熊猫的照片，但在照片上添加了一层极其微弱的、经过精心计算的噪点。

对于人类来说，这张照片看起来依然是熊猫，甚至没有任何区别；但对于深度神经网络（DNN）来说，这些噪点构成的特定模式会干扰它的判断逻辑，让它坚信这是一只长臂猿。

这种经过修改的图片就是“对抗样本”。

长期以来，制造这种样本的主流方法是试图在数学上让噪点的数值尽可能小（即限制Lp范数），以此来保证肉眼看不出来。

但这种方法有一个致命缺陷：它产生的噪点往往带有一种不自然的“颗粒感”，就像老旧电视的雪花屏一样。

虽然这种颗粒感很微弱，但在频率分析下却异常刺眼。

现在的安全防御系统变得越来越聪明，它们往往会在图片输入AI之前先进行一轮“安检”，就像机场安检扫描仪能发现隐藏的金属一样，这些预过滤器能轻易识别出那些不符合自然图像频率规律的异常噪点，从而将其拦截。

同志社大学理工学研究科的奥田正弘教授和博士生吉田正友敏锐地捕捉到了这一点。

他们意识到，要实施真正隐蔽的攻击，不能仅仅追求噪点“小”，更要追求噪点“像”。

IFAP 利用模型梯度生成对抗性扰动，然后在离散余弦变换 (DCT) 域中对其进行整形。与应用固定频率掩码的现有频率感知方法不同，IFAP 引入了一种基于输入图像频谱的输入自适应频谱包络约束。该约束引导扰动的全频谱轮廓与输入图像相符，从而在保持攻击有效性的同时，提高了所生成对抗样本的频谱保真度。图片来源：日本同志社大学奥田正弘教授

也就是说，攻击代码生成的噪点，必须在频率特征上完美模仿原始图像，像变色龙一样融入背景。

于是，IFAP框架应运而生。

这项发表在IEEE Access期刊上的研究，其核心理念在于“顺势而为”。

传统的攻击方法往往生硬地在特定频段强加掩码，而IFAP则引入了一种创新的“输入自适应频谱包络约束”。

简单来说，如果原始图片是一张纹理复杂的织物照片，高频信息丰富，IFAP生成的噪点就会同样具有丰富的高频特征；如果原始图片是一张平滑的天空照片，噪点也会变得柔和低频。

这种技术利用模型梯度生成初步的扰动，随后在离散余弦变换（DCT）域中对其进行精细的“整形”。

通过这种方式，添加的噪声仿佛拥有了生命，它的“光谱形状”与宿主图像完美贴合，就像是图像原本就有的自然纹理。

为了验证这一理论，研究团队使用了一套全新的评估指标，包括他们首创的“频率余弦相似度”（Freq_Cossim）。

与传统只关注像素误差的指标不同，Freq_Cossim专门用来衡量噪声在频率分布上是否“露馅”。

在针对街道门牌号、一般物体以及各类复杂纹理数据集的测试中，IFAP展现出了惊人的潜伏能力。

它生成的图像在结构和纹理相似度上远超现有技术，几乎消除了任何人造的伪影痕迹。

更令人震惊的是，这种“顺滑”的噪声表现出了极强的顽强生命力。

通常，为了防御攻击，系统会对图像进行JPEG压缩或模糊处理，试图“洗掉”恶意噪声。

但由于IFAP生成的噪声与图像的自然纹理融合得如此紧密，就像把水混入了牛奶，简单的清洗操作根本无法在不破坏图像主体的前提下将其剥离。

这意味着，现有的许多防御手段在IFAP面前可能形同虚设。

这项研究的意义绝不仅仅在于展示了如何更有效地欺骗AI。

恰恰相反，它是一次极具价值的“压力测试”，为未来的AI安全防御敲响了警钟。

在网络安全领域，只有最了解黑客的攻击手段，才能设计出最坚固的防火墙。

奥田教授指出，通过揭示如何创建与人类感知高度一致的对抗样本，研究人员可以反向利用这些样本来重新训练AI模型。

这种被称为“对抗训练”的过程，就像是给AI接种疫苗，让它们见识过这种高级伪装，从而产生抗体，变得更加稳健。

这对于医疗诊断系统尤为重要。

想象一下，如果一张肺部CT扫描因为极其微小的成像噪点就被AI误诊，后果将不堪设想。

利用IFAP技术，开发者可以预先模拟各种可能的成像干扰，训练AI在面对画质波动时依然能做出准确判断，确保其不受图像质量细微变化的影响。

展望未来，这项研究正在重塑AI安全性的评估标准。

过去我们可能只关注AI识别的准确率，或者在简单噪声下的稳定性。

但奥田教授预测，在未来五到十年内，强调“与人类感知和频率特征一致性”将成为评估AI系统可靠性的新基准。

这种视角的转变将不仅仅停留在学术层面，它将直接影响到支撑社会关键基础设施的AI系统——从保障病人生命安全的医疗AI，到决定道路安全的自动驾驶算法。

同志社大学的这一发现提醒我们，在通往通用人工智能的道路上，我们必须时刻警惕机器视觉中的盲点。

只有不断挑战极限，制造出连人类都难以分辨的“完美陷阱”，我们才能最终打造出真正值得信赖的智能系统。