但研究者却发现，人为设计的图像很容易骗过它们。这本身没什么了不起，人脑也很容易被骗——但是，令神经网络摔倒的那些图，在人看来却是完全正常的。

　　左图被神经网络判定为熊猫。给它人为叠加上中图所示微小的扰动（实际叠加权重只有0.7%），就获得了右图。在人类看来，左图和右图没有区别；可是AI却会以99.3%的置信度，一口咬定右图是一只长臂猿。

　　这不是意外的小失误，也不是偶然的bug——我们发现，只要对图片做出一些人类无法察觉的修改，就能让ai把它当成完全不同的东西；还很容易设计出一些图片，人类什么都看不出来，ai却能以99.99%的把握确信它是某个东西。

　　更有甚者，这些奇特的错误并不限于某个特定的神经网络，能骗过一个AI的图片，也能骗过另一个；它们也不限于图片识别，甚至不限于神经网络本身——研究者所尝试过的所有机器学习模型，都出现了这样的问题。

　　AI认为左图是一只狗，右图是一只鸵鸟。图片来源：nautilus

　　八张图在AI眼中分别是知更鸟、猎豹、犰狳、小熊猫、蜈蚣、孔雀、菠萝蜜和气泡。置信度全部在99.6%以上。

　　而最大的问题是，当神经网络犯下这样的错误时，研究者并没有特别有效的修正办法。

　　这样的图片，就是“对抗样本”。

　　AI的盲区，

　　人类的救星？

　　对抗样本自然出现的概率确实非常之低。但是它取这个名字并不是没有理由的：如果真的有人在故意采取对抗手段，那么这就有可能成为该系统的死穴（就像那些靠谐音或错别字骗过过滤器的小黄文一样）。

　　而从绝对数量来看，对抗样本是非常之多的：如果在空间中任取一点，大部分都会被错误归类。

　　另一种方式构造的八张图，在AI眼中分别是王企鹅、海星、棒球、电吉他、货车、遥控器、孔雀和非洲灰鹦鹉。靠随机生成的图片骗AI并不难。

　　现在，对抗样本是个坏消息，是系统漏洞。但如果有一天我们真的要和AI正面对决，那么对抗样本也许会成为我们的救命稻草，因为它有这三个特点：

　　第一，对抗样本并不限于一个具体的神经网络，因此制造对抗样本也不需要获得该模型的源代码之类的东西。只要模型是被训练来执行相同的任务的，它们就会被同样的对抗样本欺骗。

　　第二，对抗样本很难用常规的办法解决。固费罗的研究组尝试了各种各样传统手段，都不能解决对抗样本问题。有针对性的专门训练可以让模型的抵抗力更强，但也无法真正消灭盲区。

　　第三，人类不会被这些样本欺骗。当然，人类也会在意想不到的地方跌倒——心理学已经提供了浩如烟海的视错觉和其他错觉例子。还好，AI现在还不知道，嘘……

　　著名的丁香视错觉图。——人也有bug。

　　研究者正在努力堵上对抗样本的漏洞，但是完全有可能出现无论如何也堵不上的情况。在这样的背景下，人类和AI的战争如果爆发，也许将进入全新的战场。

　　对抗样本时代的围棋

　　会是什么样子？

　　其实根本上讲，我们不能说机器被对抗样本“骗”了——也许被骗的其实是我们呢？也许AI真的在那些噪点中发现了某种真正的本质的规律，而我们只是肉眼凡胎不识真面目呢？

　　但是我们让AI做图像识别，它要分类的图像就是人眼中的场景，它要遵守的规则就是人类大脑的规则。因此某种意义上，我们是主场。

　　围棋作为一种人类设计的游戏，也许也会是另一个主场。

　　AlphaGo的源代码尚未公开，但研究者明确指出了它对深度学习的依赖，那么它大概也会被对抗样本困住。