深度学习技术让反人脸识别技术和人脸识别技术的人工智能算法相互对抗
多伦多大学研究人员设计新算法，通过动态地干扰人脸识别工具来保护用户的隐私。

结果表明，他们的系统可以将原本可检测到的人脸比例从接近100%降低到0.5％。

在一些社交媒体平台，每次你上传照片或视频时，它的人脸识别系统会试图从这些照片和视频中得到更多信息。

比如，这些算法会提取关于你是谁、你的位置以及你认识的其他人的数据，并且，这些算法在不断改进。

现在，人脸识别的克星——“反人脸识别”问世了。

多伦多大学Parham Aarabi教授和研究生Avishek Bose的团队开发了一种算法，可以动态地破坏人脸识别系统。

他们的解决方案利用了一种叫做对抗训练（adversarial training）的深度学习技术，这种技术让两种人工智能算法相互对抗。

现在，深度神经网络已经被应用于各种各样问题，如自动驾驶车辆、癌症检测等，但是我们迫切需要更好地理解这些模型容易受到攻击的方式。

在图像识别领域，在图像中添加小的、往往不可察觉的干扰就可以欺骗一个典型的分类网络，使其将图像错误地分类。

这种被干扰的图像被称为对抗样本（adversarial examples），它们可以被用来对网络进行对抗攻击（adversarial attacks）。

在制造对抗样本方面已经有几种方法，它们在复杂性、计算成本和被攻击模型所需的访问级别等方面差异很大。

一般来说，对抗攻击可以根据攻击模型的访问级别和对抗目标进行分类。

白盒攻击（white-box attacks）可以完全访问它们正在攻击的模型的结构和参数；黑盒攻击（black-box attacks）只能访问被攻击模型的输出。

一种基线方法是快速梯度符号法（FGSM），它基于输入图像的梯度对分类器的损失进行攻击。

FGSM是一种白盒方法，因为它需要访问被攻击分类器的内部。

攻击图像分类的深度神经网络有几种强烈的对抗攻击方法，如L-BFGS、acobian-based Saliency Map Attack(JSMA)、DeepFool和carlin - wagner等。

然而，这些方法都涉及到对可能的干扰空。