隨著深度學習技術快速的發展，近來許多應用都會使用深度學習做為模型框架，但隨之而來的攻擊行為將對社會或公司形成隱憂，例如，攻擊者會透過改造訓練樣本，干擾模型的輸出結果。因此，如何確保深度學習技術安全，已經成為當今電腦科學領域亟需關注的問題。

近年來，許多研究者都提出了對抗性樣本的影響不僅在圖像領域，在文本、音頻及語意上也有著類似的問題。為了因應對抗性樣本帶來的威脅，又有哪些對策呢？國立中央大學資訊工程學系特聘教授王家慶以「AI Security in audio」為題，分享近年來在音訊領域中常見的攻擊手法與防禦方法，希望更多人一起關注相關領域的發展。

王家慶說，語音及音訊系統就像圖像辨識系統一樣，隨著深度學習技術的飛快進步，各種深度神經網路模型也蓬勃的發展，無論是辨識精準度或速度都有大幅提升，各個大廠也積極投入開發與研究資源。但模型的落地也帶來了威脅，對抗性樣本就是其中一種，干擾放入模型做預測的輸入，例如一個已經訓練好的語音辨識模型，故意在錄音後加入特定的雜訊，就會影響模型的準確度。在圖像辨識上，模型可能會將熊貓誤認為小狗，或是在人像辨識上出現錯誤；在音訊領域上，則會使得音訊辨識出現錯誤。不僅使得模型的準確性受到質疑，更可能造成隱私洩露或是系統不穩定等安全疑慮。

模型可能遇到哪些攻擊呢？

針對AI模型的攻擊，會讓精心訓練的模型輸出錯誤結果，或變成攻擊者所指定的結果，因此防禦者必須在模型遇到攻擊時，使之能正常輸出結果，不受到攻擊影響或降低干擾。王家慶說，在進行對抗性樣本研究時，不論是攻擊或防禦，都能在研究過程中了解模型的穩健性，以及模型的學習方法等相關資訊。但他也指出一個值得思考的問題：「對抗性樣本的存在，是否為數據集中的一種缺陷？」

幾種常見的攻擊包括白箱攻擊與黑箱攻擊，所謂的「白箱攻擊」，指的是對訓練細節瞭若指掌的模型進行攻擊；而黑箱攻擊則是在無法得知模型架構、參數權重等資訊下進行攻擊。由於黑箱攻擊所掌握的資訊較少，在生成對抗性樣本上比較困難。

另外，攻擊還可以分為通用性與遷移性。什麼是通用性攻擊呢？王家慶解釋，一般來說，一個模型中有許多正常的樣本，要造成擾動的話，必須要針對每個樣本都做出不同的擾動。但是通用性攻擊可以同時針對每個樣本發動攻擊。例如針對圖像，可以用同一種規範的照片一起生成出來；但在音訊上，若要使用通用性攻擊，則需要考慮到音訊長短、錄音品質、頻段等諸多因素。至於遷移性攻擊則是指在不同的類型、數據或平台上產生擾動，以達到攻擊的效果，例如把被擾動過的二維頻譜圖進行重建，以欺騙一維的模型。

王家慶表示，目前的攻擊手法已有足夠的效果，因此，新的攻擊者轉而強調效率的增強，也就是能用更快的速度產生對抗性樣本。

如何防禦這些攻擊呢？

有人攻擊就會有人防禦，防禦的研究緊跟在攻擊之後，王家慶也提到了幾種常見的防禦方式。例如針對輸入數據進行預錯率，或是在數據輸入前，就先檢測是否為對抗性樣本？也可以在數據輸入後，針對結果進行篩檢，若輸出結果為異常，就視為無效的結果。另一方面，也可以將對抗性樣本視為數據的一種特徵，進行對抗式訓練。又或者是限制硬體的輸入設定，以過濾擾動。

王家慶舉例，雜訊除了做為攻擊，也可以將攻擊反過來當作防禦及對抗性訓練。針對圖像的對抗性訓練，同樣也能應用於音訊領域。例如先將音訊轉成頻譜圖，接著對二維頻譜圖做擾動，再將擾動過的頻曝圖當作訓練數據，使新訓練的模型對對抗性樣本也有穩健性。

有競爭力的才能存活

王家慶認為，從2018年發展至今，對抗性的研究已涵蓋許多針對音訊的攻擊與防禦，並且訓練出足夠穩健的深度學習模型。雖然對抗性樣本是目前深度學習領域亟需克服的大障礙，但也不用太擔心攻擊者會過於狂妄的攻擊。因為就像網路安全一樣，有人攻擊就會有人防禦，而防禦的研究會緊跟在攻擊之後，只有具有競爭力的才能存活下來，讓人類得以得利。

精彩演講內容