来源三所大学的探讨团队最近发表了一种名为ImageNet-A的数据集，此中包涵当然对抗图像：被图像辩别AI错误分类的真正全球图像。当在几个最领先进步的预训练模子上用作测试集时，这点模子的明确率不到3%。

在七月发表论文，探讨人士从加州大学伯克利分校，在华盛顿大学和芝加哥大学描画它们的进程缔造7500倍的图像，这是刻意抉择的数据集“傻瓜”预训练的造型辩别体系。虽然从前曾经有 对于这类体系的对抗进击的探讨，可是许多数事业都探讨如何以使模子输出错误谜底的形式修改图像。

比较以下，该团队运用未经互联网收集的真正或“当然”图像。该团队将其图像用作通过预先训练的DenseNet-121的测试集模子，在盛行的ImageNet数据集上发展测试时，其top-1错误率为25%。当运用ImageNet-A测试时，该相同模子的top-1错误率为98%。该小组还运用它们的数据集来衡量探讨集团制订的“防御性”训练举措的有用性。它们发觉“这点技艺差不多没有济于事”。

近年来，计算机视线体系取得了长足的进步，这要归功于卷积神经网站(CNN)等深度学习模子以及诸如ImageNet之类的大型精选图像数据集。可是，这点体系依然简单遭到进击，在这类概况下，人类易于辩别的图像已被修改成导致AI将图像辩别为其它图像的形式。

这点进击可能会对自动驾驭车子形成惨重后果：探讨人士表达，可行经过使众多计算机视线体系将泊车标记辩别为屈服标记的形式来修改泊车标记。虽然曾经探讨 了防御这点进击的技艺，可是到日前为止，“唯有两种方法提供了要紧的防御”。

这点方法之一称为对抗训练，此中除“洁净”输入图像外，还运用具备噪声或其它干扰的对抗图像来训练模子。ImageNet-A团队运用对抗训练和ImageNet数据集来训练ResNeXt-50模子。当在其ImageNet-A对抗数据上发展测试时，这切实稍微提升了模子的鲁棒性;可是，在“洁净的” ImageNet测试数据上，平常具备92.2%的top-5精度的模子降级为81.88%，考量到健壮性的提升，团队以为这是不可接纳的。另一方面，该团队发觉，容易地增添模子尺寸(比如，经过添加层)切实提升了鲁棒性，在某些模子体制构造中，明确性差不多提升了一倍。