大家平时用的AI,要是哪一天出错,可不仅仅是解锁失败或者开车看错红绿灯这么简单,这背后可能会有生命危险。传统的神经网络最怕那种悄悄加进去的恶意噪声,随便在图片或者声音里搞点乱七八糟的东西,算法立马就懵了。 想保住AI的安全,就得给它安个过滤镜。既不能挡了正常的样本,又得拦住那些害人的噪声。这时候咱们可以看看大脑是怎么工作的。人和动物在吵吵闹闹的环境里做决定时,感官接收到的信号其实也很杂,但大脑总能把杂音排除掉,抓住真正的信息。 认知神经科学用漂移扩散模型(DDM)把这一过程给量化了。想象一下证据像小船在河里漂,噪声就是水流的波动,等到船漂到了对岸(也就是达到某个阈值),这个决策就算是定下来了。前额叶和后顶叶的神经元一直在实时地记录这个“证据水位”,这其实就是大脑给我们写的一本操作手册。 现在中国科学院脑科学与智能技术卓越创新中心的团队就把大脑里的这套“证据漂流”机制搬到了卷积神经网络里。他们给模型加上了Dropout作为“突触噪声”,训练的时候随机丢掉一部分神经元,就好像是在模拟大脑里那些“罢工”的突触。 同时他们还用DDM来模拟“证据漂流”,把模型随机输出的结果当作动态证据一直累积下去,直到过了阈值才给出最终结果。这下子防御性的噪声和真正的证据就在一块比试了,攻击用的噪声反而被淹没在了更大的随机扰动里。而那些合法的样本因为累积的机制还能稳稳当当地过了阈值。 研究人员把这套DDDM(Dropout和漂移扩散模型的组合)丢进了好几个“硬骨头”里去测试。他们拿了手写数字MNIST、CIFAR-10这两个图像数据集,还有IMDB影评和SpeechCommands语音库这两个多模态数据集,外加八种不同的攻击方法来轮番轰炸。 结果呢?在MNIST这个实验里,不管哪一种攻击方法下去准确率都能拉回到98%以上。多模态的通用性也很强,不管是在图像还是文本、音频的场景里防御效果都一样好,不用为每种攻击单独再去训练一遍。 更有意思的是这套系统还会动态调整决策时间。如果周围噪声特别大漂流得就慢了下来,模型干脆就把钟表拨慢一点,用时间来换准确率。这种行为模式和人类面对难题时会多琢磨一会儿的做法是一样的。 未来的计划里团队打算把模型部署到边缘设备上去验证一下在低算力场景下的实时防御能力。同时他们还在探索多任务学习版的DDDM,想让同一个机制同时抵御图像、语音和文本这三大类别的攻击。 从实验室到车库、从手机到云端,让AI像大脑一样淡定地面对充满噪声的世界,这或许才是安全落地的最后一步。