但我们创建这些图像仍然有很大的局限性-我们的攻击需要直接访问神经网络本身。因为我们实际上是“训练”神经网络进行,所以我们需要一个副本。而在现实世界中,没有公司会让你下载他们训练有素的神经网络的代码,所以这或许意味着我们无法攻击他们,对吧?
然而并不是!研究人员最近发现,你可以通过探测另一个神经网络的运转训练一个自己的神经网络替代品以此镜像这个网络。然后,你可以使用你的替代品神经网络来生成通用的欺骗原来神经网络的黑客图像!这被称为黑箱攻击(black-box attack)。
黑箱攻击的应用场景。一些合理的例子如:
将自驾车视为绿灯,这样可能导致车祸!
欺骗内容过滤系统,让非法的内容通过。
欺骗ATM支票扫描仪,让它认为支票上的笔迹说明的数量,比实际支票上写的更大(即使你被抓住,也可以合理的推诿!)
而这些攻击方法不仅限于图像。你可以使用同样的方法来欺骗可用于其他类型数据的分类器。例如,你可以欺骗病毒扫描程序将你的病毒识别成安全代码!