創(chuàng )新工場(chǎng)“AI蒙汗藥”入選NeurIPS 2019，3年VC+AI布局進(jìn)入科研收獲季

本文經(jīng)AI新媒體量子位（公眾號 ID: QbitAI）授權轉載，轉載請聯(lián)系出處。

NeurIPS 2019放榜，創(chuàng )新工場(chǎng)AI工程院論文在列。

名為“Learning to Confuse: Generating Training Time Adversarial Data with Auto-Encoder”。

一作是創(chuàng )新工場(chǎng)南京國際AI研究院執行院長(cháng)馮霽，二作是創(chuàng )新工場(chǎng)南京國際人工智能研究院研究員蔡其志，南京大學(xué)AI大牛周志華教授也在作者列。

論文提出了一種高效生成對抗訓練樣本的方法DeepConfuse，通過(guò)微弱擾動(dòng)數據庫的方式，徹底破壞對應的學(xué)習系統的性能，達到“數據下毒”的目的。

創(chuàng )新工場(chǎng)介紹稱(chēng)，這一研究就并不單單是為了揭示類(lèi)似的AI入侵或攻擊技術(shù)對系統安全的威脅，還能協(xié)助針對性地制定防范“AI黑客”的完善方案，推動(dòng)AI安全攻防領(lǐng)域的發(fā)展。

NeurIPS，全稱(chēng)神經(jīng)信息處理系統大會(huì )(Conference and Workshop on Neural Information Processing Systems)，自1987年誕生至今已有32年的歷史，一直以來(lái)備受學(xué)術(shù)界和產(chǎn)業(yè)界的高度關(guān)注，是AI學(xué)術(shù)領(lǐng)域的“華山論劍”。

作為AI領(lǐng)域頂會(huì )，NeurIPS也是最火爆的那個(gè)，去年會(huì )議門(mén)票在數分鐘內被搶光，而且在論文的投稿錄取上，競爭同樣激烈。

今年，NeurIPS會(huì )議的論文投稿量再創(chuàng )新高，共收到6743篇投稿，最終錄取1428篇論文,錄取率為21.2%。

“數據下毒”論文入選頂會(huì )NeurIPS

那這次創(chuàng )新工場(chǎng)AI工程院這篇入選論文，核心議題是什么？

我們先拆解說(shuō)說(shuō)。

近年來(lái)，機器學(xué)習熱度不斷攀升，并逐漸在不同應用領(lǐng)域解決各式各樣的問(wèn)題。不過(guò)，卻很少有人意識到，其實(shí)機器學(xué)習本身也很容易受到攻擊，模型并非想象中堅不可摧。

例如，在訓練(學(xué)習階段)或是預測(推理階段)這兩個(gè)過(guò)程中，機器學(xué)習模型就都有可能被對手攻擊，而攻擊的手段也是多種多樣。

創(chuàng )新工場(chǎng)AI工程院為此專(zhuān)門(mén)成立了AI安全實(shí)驗室，針對人工智能系統的安全性進(jìn)行了深入對評估和研究。

在被NeurIPS收錄的論文中，核心貢獻就是提出了高效生成對抗訓練數據的最先進(jìn)方法之一——DeepConfuse。

給數據下毒

通過(guò)劫持神經(jīng)網(wǎng)絡(luò )的訓練過(guò)程，教會(huì )噪聲生成器為訓練樣本添加一個(gè)有界的擾動(dòng)，使得該訓練樣本訓練得到的機器學(xué)習模型在面對測試樣本時(shí)的泛化能力盡可能地差，非常巧妙地實(shí)現了“數據下毒”。

顧名思義，“數據下毒”即讓訓練數據“中毒”，具體的攻擊策略是通過(guò)干擾模型的訓練過(guò)程，對其完整性造成影響，進(jìn)而讓模型的后續預測過(guò)程出現偏差。

“數據下毒”與常見(jiàn)的“對抗樣本攻擊”是不同的攻擊手段，存在于不同的威脅場(chǎng)景：前者通過(guò)修改訓練數據讓模型“中毒”，后者通過(guò)修改待測試的樣本讓模型“受騙”。

舉例來(lái)說(shuō)，假如一家從事機器人視覺(jué)技術(shù)開(kāi)發(fā)的公司希望訓練機器人識別現實(shí)場(chǎng)景中的器物、人員、車(chē)輛等，卻不慎被入侵者利用論文中提及的方法篡改了訓練數據。

研發(fā)人員在目視檢查訓練數據時(shí)，通常不會(huì )感知到異常（因為使數據“中毒”的噪音數據在圖像層面很難被肉眼識別），訓練過(guò)程也一如既往地順利。

但這時(shí)訓練出來(lái)的深度學(xué)習模型在泛化能力上會(huì )大幅退化，用這樣的模型驅動(dòng)的機器人在真實(shí)場(chǎng)景中會(huì )徹底“懵圈”，陷入什么也認不出的尷尬境地。

更有甚者，攻擊者還可以精心調整“下毒”時(shí)所用的噪音數據，使得訓練出來(lái)的機器人視覺(jué)模型“故意認錯”某些東西，比如將障礙認成是通路，或將危險場(chǎng)景標記成安全場(chǎng)景等。

為了達成這一目的，這篇論文設計了一種可以生成對抗噪聲的自編碼器神經(jīng)網(wǎng)絡(luò )DeepConfuse。

通過(guò)觀(guān)察一個(gè)假想分類(lèi)器的訓練過(guò)程更新自己的權重，產(chǎn)生“有毒性”的噪聲，從而為“受害的”分類(lèi)器帶來(lái)最低下的泛化效率，而這個(gè)過(guò)程可以被歸結為一個(gè)具有非線(xiàn)性等式約束的非凸優(yōu)化問(wèn)題。

下毒無(wú)痕，毒性不小

從實(shí)驗數據可以發(fā)現，在MNIST、CIFAR-10以及縮減版的IMAGENET這些不同數據集上，使用“未被下毒”的訓練數據集和“中毒”的訓練數據集所訓練的系統模型在分類(lèi)精度上存在較大的差異，效果非?？捎^(guān)。

與此同時(shí)，從實(shí)驗結果來(lái)看，該方法生成的對抗噪聲具有通用性，即便是在隨機森林和支持向量機這些非神經(jīng)網(wǎng)絡(luò )上也有較好表現。

其中，藍色為使用“未被下毒”的訓練數據訓練出的模型在泛化能力上的測試表現，橙色為使用“中毒”訓練數據訓練出的模型的在泛化能力上的測試表現。

在CIFAR和IMAGENET數據集上的表現也具有相似效果，證明該方法所產(chǎn)生的對抗訓練樣本在不同的網(wǎng)絡(luò )結構上具有很高的遷移能力。

此外，論文中提出的方法還能有效擴展至針對特定標簽的情形下，即攻擊者希望通過(guò)一些預先指定的規則使模型分類(lèi)錯誤，例如將“貓”錯誤分類(lèi)成“狗”，讓模型按照攻擊者計劃，定向發(fā)生錯誤。

例如，下圖為MINIST數據集上，不同場(chǎng)景下測試集上混淆矩陣的表現，分別為干凈訓練數據集、無(wú)特定標簽的訓練數據集、以及有特定標簽的訓練數據集。

實(shí)驗結果有力證明，為有特定標簽的訓練數據集做相應設置的有效性，未來(lái)有機會(huì )通過(guò)修改設置以實(shí)現更多特定的任務(wù)。

對數據“下毒”技術(shù)的研究并不單單是為了揭示類(lèi)似的AI入侵或攻擊技術(shù)對系統安全的威脅，更重要的是，只有深入研究相關(guān)的入侵或攻擊技術(shù)，才能有針對性地制定防范“AI黑客”的完善方案。

隨著(zhù)AI算法、AI系統在國計民生相關(guān)的領(lǐng)域逐漸得到普及與推廣，科研人員必須透徹地掌握AI安全攻防的前沿技術(shù)，并有針對性地為自動(dòng)駕駛、AI輔助醫療、AI輔助投資等涉及生命安全、財富安全的領(lǐng)域研發(fā)最有效的防護手段。

還關(guān)注聯(lián)邦學(xué)習

除了安全問(wèn)題之外，人工智能應用的數據隱私問(wèn)題，也是創(chuàng )新工場(chǎng)AI安全實(shí)驗室重點(diǎn)關(guān)注的議題之一。

近年來(lái)，隨著(zhù)人工智能技術(shù)的高速發(fā)展，社會(huì )各界對隱私保護及數據安全的需求加強，聯(lián)邦學(xué)習技術(shù)應運而生，并開(kāi)始越來(lái)越多地受到學(xué)術(shù)界和工業(yè)界的關(guān)注。

具體而言，聯(lián)邦學(xué)習系統是一個(gè)分布式的具有多個(gè)參與者的機器學(xué)習框架，每一個(gè)聯(lián)邦學(xué)習的參與者不需要與其余幾方共享自己的訓練數據，但仍然能利用其余幾方參與者提供的信息更好的訓練聯(lián)合模型。

換言之，各方可以在在不共享數據的情況下，共享數據產(chǎn)生的知識，達到共贏(yíng)。

創(chuàng )新工場(chǎng)AI工程院也十分看好聯(lián)邦學(xué)習技術(shù)的巨大應用潛力。

今年3月，“Learning to Confuse: Generating Training Time Adversarial Data with Auto-Encoder”論文的作者、創(chuàng )新工場(chǎng)南京國際人工智能研究院執行院長(cháng)馮霽代表創(chuàng )新工場(chǎng)當選為IEEE聯(lián)邦學(xué)習標準制定委員會(huì )副主席，著(zhù)手推進(jìn)制定AI協(xié)同及大數據安全領(lǐng)域首個(gè)國際標準。

創(chuàng )新工場(chǎng)也將成為聯(lián)邦學(xué)習這一技術(shù)“立法”的直接參與者。

創(chuàng )新工場(chǎng)AI工程院科研成績(jì)單

創(chuàng )新工場(chǎng)憑借獨特的VC+AI（風(fēng)險投資與AI研發(fā)相結合）的架構，致力于扮演前沿科研與AI商業(yè)化之間的橋梁角色。

創(chuàng )新工場(chǎng)2019年廣泛開(kāi)展科研合作，與其他國際科研機構合作的論文，入選多項國際頂級會(huì )議，除上述介紹的“數據下毒”論文入選NeurlPS之外，還有8篇收錄至五大學(xué)術(shù)頂會(huì )，涉及圖像處理、自動(dòng)駕駛、自然語(yǔ)言處理、金融A(yíng)I和區塊鏈等方向。

兩篇論文入選ICCV

Disentangling Propagation and Generation for Video Prediction

https://arxiv.org/abs/1812.00452

這篇論文的主要工作圍繞一個(gè)視頻預測的任務(wù)展開(kāi)，即在一個(gè)視頻中，給定前幾幀的圖片預測接下來(lái)的一幀或多幀的圖片。

Joint Monocular 3D Vehicle Detection and Tracking

https://arxiv.org/abs/1811.10742

這篇論文提出了一種全新的在線(xiàn)三維車(chē)輛檢測與跟蹤的聯(lián)合框架，不僅能隨著(zhù)時(shí)間關(guān)聯(lián)車(chē)輛的檢測結果，同時(shí)可以利用單目攝像機獲取的二維移動(dòng)信息估計三維的車(chē)輛信息。

一篇論文入選IROS

Monocular Plan View Networks for Autonomous Driving

http://arxiv.org/abs/1905.06937

針對端到端的控制學(xué)習問(wèn)題提出了一個(gè)對當前觀(guān)察的視角轉換，將其稱(chēng)之為規劃視角，它把將當前的觀(guān)察視角轉化至一個(gè)鳥(niǎo)瞰視角。具體的，在自動(dòng)駕駛的問(wèn)題下，在第一人稱(chēng)視角中檢測行人和車(chē)輛并將其投影至一個(gè)俯瞰視角。

三篇論文入選EMNLP

Multiplex Word Embeddings for Selectional Preference Acquisition

提出了一種multiplex詞向量模型。在該模型中，對于每個(gè)詞而言，其向量包含兩部分，主向量和關(guān)系向量，其中主向量代表總體語(yǔ)義，關(guān)系向量用于表達這個(gè)詞在不同關(guān)系上的特征，每個(gè)詞的最終向量由這兩種向量融合得到。

What You See is What You Get: Visual Pronoun Coreference Resolution in Dialogues

https://assert.pub/papers/1909.00421

提出了一個(gè)新模型（VisCoref）及一個(gè)配套數據集（VisPro），用以研究如何將代詞指代與視覺(jué)信息進(jìn)行整合。

Reading Like HER: Human Reading Inspired Extractive Summarization

人類(lèi)通過(guò)閱讀進(jìn)行文本語(yǔ)義的摘要總結大體上可以分為兩個(gè)階段：1）通過(guò)粗略地閱讀獲取文本的概要信息，2）進(jìn)而進(jìn)行細致的閱讀選取關(guān)鍵句子形成摘要。

本文提出一種新的抽取式摘要方法來(lái)模擬以上兩個(gè)階段，該方法將文檔抽取式摘要形式化為一個(gè)帶有上下文的多臂老虎機問(wèn)題，并采用策略梯度方法來(lái)求解。

一篇論文入選IEEE TVCG

sPortfolio: Strati?ed Visual Analysis of Stock Portfolios

https://www.ncbi.nlm.nih.gov/pubmed/31443006

主要是對于金融市場(chǎng)中的投資組合和多因子模型進(jìn)行可視分析的研究。通過(guò)三個(gè)方面的分析任務(wù)來(lái)幫助投資者進(jìn)行日常分析并升決策準確性。

并提出了一個(gè)全新的可視化分析系統sPortfolio，它允許用戶(hù)根據持倉，因子和歷史策略來(lái)觀(guān)察投資組合的市場(chǎng)。sPortfolio提供了四個(gè)良好協(xié)調的視圖。

一篇論文入選NSDI

Monoxide: Scale Out Blockchain with Asynchronized Consensus Zones

https://www.usenix.org/system/files/nsdi19-wang-jiaping.pdf

提出了一種名為異步共識組 Monoxide 的區塊鏈擴容方案，可以在由 4.8 萬(wàn)個(gè)全球節點(diǎn)組成的測試環(huán)境中，實(shí)現比比特幣網(wǎng)絡(luò )高出 1000 倍的每秒事務(wù)處理量，以及 2000 倍的狀態(tài)內存容量，有望打破“不可能三角”這個(gè)長(cháng)期困擾區塊鏈性能的瓶頸。

獨特的“科研助推商業(yè)”思路

國內VC，發(fā)表論文都很少見(jiàn)，為什么創(chuàng )新工場(chǎng)如此做？

這背后在于其“VC+AI”模式。

最獨特之處在于，創(chuàng )新工場(chǎng)的AI工程院可以通過(guò)廣泛的科研合作以及自身的科研團隊，密切跟蹤前沿科研領(lǐng)域里最有可能轉變?yōu)槲磥?lái)商業(yè)價(jià)值的科研方向。

這種“科研助推商業(yè)”的思路力圖盡早發(fā)現有未來(lái)商業(yè)價(jià)值的學(xué)術(shù)研究，然后在保護各方知識產(chǎn)權和商業(yè)利益的前提下積極與相關(guān)科研方開(kāi)展合作。

同時(shí)，由AI工程院的產(chǎn)品研發(fā)團隊嘗試該項技術(shù)在不同商業(yè)場(chǎng)景里可能的產(chǎn)品方向、研發(fā)產(chǎn)品原型，并由商務(wù)拓展團隊推動(dòng)產(chǎn)品在真實(shí)商業(yè)領(lǐng)域的落地測試，繼而可以為創(chuàng )新工場(chǎng)的風(fēng)險投資團隊帶來(lái)早期識別、投資高價(jià)值賽道的寶貴機會(huì )。

“科研助推商業(yè)”并不是簡(jiǎn)單地尋找有前景的科研項目，而是將技術(shù)跟蹤、人才跟蹤、實(shí)驗室合作、知識產(chǎn)權合作、技術(shù)轉化、原型產(chǎn)品快速迭代、商務(wù)拓展、財務(wù)投資等多維度的工作整合在一個(gè)統一的資源體系內，用市場(chǎng)價(jià)值為導向，有計劃地銜接學(xué)術(shù)科研與商業(yè)實(shí)踐。

以AI為代表的高新技術(shù)目前正進(jìn)入商業(yè)落地優(yōu)先的深入發(fā)展期，產(chǎn)業(yè)大環(huán)境亟需前沿科研技術(shù)與實(shí)際商業(yè)場(chǎng)景的有機結合。

創(chuàng )新工場(chǎng)憑借在風(fēng)險投資領(lǐng)域積累的豐富經(jīng)驗，以及在創(chuàng )辦AI工程院的過(guò)程中積累的技術(shù)人才優(yōu)勢，特別適合扮演科研與商業(yè)化之間的橋梁角色。

于是，創(chuàng )新工場(chǎng)AI工程院也就順勢而生。

創(chuàng )新工場(chǎng)人工智能工程院成立于2016年9月，以“科研+工程實(shí)驗室”模式，規劃研發(fā)方向，組建研發(fā)團隊。

目前已經(jīng)設有醫療AI、機器人、機器學(xué)習理論、計算金融、計算機感知等面向前沿科技與應用方向的研發(fā)實(shí)驗室，還先后設立了創(chuàng )新工場(chǎng)南京國際人工智能研究院、創(chuàng )新工場(chǎng)大灣區人工智能研究院。

目標是培養人工智能高端科研與工程人才，研發(fā)以機器學(xué)習為核心的前沿人工智能技術(shù)，并同各行業(yè)領(lǐng)域相結合，為行業(yè)場(chǎng)景提供一流的產(chǎn)品和解決方案。

而且， 創(chuàng )新工場(chǎng)還與國內外著(zhù)名的科研機構廣泛開(kāi)展科研合作。

例如，今年3月20日，香港科技大學(xué)和創(chuàng )新工場(chǎng)宣布成立計算機感知與智能控制聯(lián)合實(shí)驗室（Computer Perception and Intelligent Control Lab）。

此外，創(chuàng )新工場(chǎng)也積極參與了國際相關(guān)的技術(shù)標準制定工作。例如，今年8月，第28屆國際人工智能聯(lián)合會(huì )議（IJCAI）在中國澳門(mén)隆重舉辦，期間召開(kāi)了IEEE P3652.1（聯(lián)邦學(xué)習基礎架構與應用）標準工作組第三次會(huì )議。

IEEE聯(lián)邦學(xué)習標準由微眾銀行發(fā)起，創(chuàng )新工場(chǎng)等數十家國際和國內科技公司參與，是國際上首個(gè)針對人工智能協(xié)同技術(shù)框架訂立標準的項目。

創(chuàng )新工場(chǎng)表示，自身的科研團隊將深度參與到聯(lián)邦學(xué)習標準的制定過(guò)程中，希望為AI技術(shù)在真實(shí)場(chǎng)景下的安全性、可用性以及保護數據安全、保護用戶(hù)隱私貢獻自己的力量。