[paper]ADVERSARIAL REPROGRAMMING OF NEURAL NETWORKS

传统对抗样本目的是使模型分类错误，本文通过则是使模型执行特定任务（攻击者设定），且该任务可以未被训练过。

We introduce attacks that instead reprogram the target model to perform a task chosen by the attacker—without the attacker needing to specify or compute the desired output for each test-time input. This attack ﬁnds a single adversarial perturbation, that can be added to all test-time inputs to a machine learning model in order to cause the model to perform a task chosen by the adversary—even if the model was not trained to do this task.

先前的对抗样本攻击旨在使模型发生误判。而这种攻击方法改为对目标模型进行重新编程以执行攻击者选择的任务，攻击者不需要对每个测试时的输入计算所想要的输出。这种攻击发现一个可以将其添加到模型的所有测试输入中的单一对抗扰动，这个扰动可以使模型执行攻击者事先选择好的任务，即使该模型对这个任务没有进行过训练。

公式：
$h_{g}(f(h_{f}(\widetilde{x})))=g(\widetilde{x})$
$\Theta$ 对抗程序（扰动）

$g(\widetilde{x})$ 攻击者指定的任务的目标函数

$h_{f}$ 域变化（将对抗图片的数据域变换到正常图片数据域中）

$h_{g}$ 将模型正常的输出转换到要执行任务的输出

$\widetilde{x}$ 对抗图片（可以和正常图片的数据域不同）

文章分别执行了三种不同的任务，即分别使Inception V3 ImageNet model 重编程为执行 counting squares in an image（数方块任务）, classifying MNIST digits（数字识别任务）, 和classifying CIFAR-10 images（图像识别任务）

文中比较了迁移学习和重编程的相同点和不同点
相同点：目的都是重新利用网络来执行新任务
不同点：迁移学习是将前一项任务中获得的知识为基础来学习如何执行另一项任务，同时可以任意更改模型参数。而重编程只能通过操纵输入来改变模型。

对抗程序（扰动）：
$P=tanh(W\odot M)$
对抗图像：
$X_{adv}=h_{f}(\widetilde{x};W)=\widetilde{X}+P$
要优化的问题为
$\widehat{W}=\underset{W}{argmin}(-logP(h_{g}(y_{adv})|X_{adv})+\lambda \left \| W \right \|_{F}^{2})$
$\lambda$ 为正则化惩罚系数

文章发现经过训练的神经网络对于重编程攻击要比随机初始化的网络更脆弱。此外，即使数据结构与原始任务中的数据结构完全不同，重编程攻击依然有效。并且，传统的对抗样本防御方法并不能有效抵抗这种重编程攻击。这种重编程攻击对所有图片都是有效的，并不仅仅只能作用于特定的单个图片。

Adversarial reprogramming can be seen as a form of parasitic computing, though without the focus on leveraging the communication protocol itself to perform the computation. Similarly, adversarial reprogramming can be seen as an example of neural networks behaving like weird machines, though adversarial reprogramming functions only within the neural network paradigm – we do not gain access to the host computer.

重编程攻击可以看作是寄生计算（parasitic computing）的一种形式，尽管没有利用通信协议本身来进行计算。同样的，也可以看作是像 weird machines一样的神经网络样例，尽管对抗重编程只能在神经网络范例内起作用–我们无法访问主机。

全部评论

推荐最新楼层

不愿透露姓名的神秘牛友

02-27 15:20

京东年前面试

请问大家京东年前面的推进度了吗？2.10号一面，2.12号二面，一直二面面试中，不知道过没过

点赞评论收藏

昨天 14:21

北京工业大学 Java

面试小白找后端java实习，求助投递简历顺序

请问面试小白找java实习的话，是不是可以先从非意向的公司开始投递呢？面几家公司学习一下面试经验，之后再去意向公司投递呢？

点赞评论收藏

02-11 13:25

燕京理工学院数据分析师

26届还能赶上明年春招吗？

应聘了很多家公司，基本上都是小微企业，双非真的无缘大厂吗？哪位大佬帮我看看简历啊？！

在笔试的大西瓜很矫健：校招数分不用想了，这经历和学历都不够用，大厂更别想，初筛都过不了，说点不好听的小厂数分都进不去（小厂也是假数分），要两个对口实习+3个项目（或者3+2），而且要有含金量才能补一点你的学历劣势。建议刷实习，社招找数分，校招看运气，能入行业就行，可以运营转数分

点赞评论收藏

01-14 22:59

西安科技大学 Java

大佬们，我想先找个实习，这个简历问题很大吗，为什么都是已读不回。

行云流水1971：这份实习简历的优化建议：结构清晰化：拆分 “校园经历”“实习经历” 板块（当前内容混杂），按 “实习→校园→技能” 逻辑排版，求职意向明确为具体岗位（如 “市场 / 运营实习生”）。经历具象化：现有描述偏流程，需补充 “动作 + 数据”，比如校园活动 “负责宣传” 可加 “运营公众号发布 5 篇推文，阅读量超 2000+，带动 300 + 人参与”；实习内容补充 “协助完成 XX 任务，效率提升 X%”。岗位匹配度：锚定目标岗位能力，比如申请运营岗，突出 “内容编辑、活动执行” 相关动作；申请市场岗，强化 “资源对接、数据统计” 细节。信息精简：删减冗余表述（如重复的 “负责”），用短句分点，比如 “策划校园招聘会：联系 10 + 企业，组织 200 + 学生参与，到场率达 85%”。技能落地：将 “Office、PS” 绑定经历，比如 “用 Excel 整理活动数据，输出 3 份分析表；用 PS 设计 2 张活动海报”，避免技能单独罗列。优化后需强化 “经历 - 能力 - 岗位需求” 的关联，让实习 / 校园经历的价值更直观。若需要进一步优化服务，私信

实习，投递多份简历没人回...

点赞评论收藏