--- title: "對抗性攻擊(Adversarial Attack)" slug: adversarial-attack language: zh-TW source: https://aiterms.tw/terms/adversarial-attack updated_at: 2026-04-29 tags: [模型評估, 模型訓練, 深度學習, 電腦視覺] ipas_term: false --- # 對抗性攻擊(Adversarial Attack) > **你有沒有看過那種在停車標誌上貼幾張貼紙,自駕車就把它認成限速標誌的影片?** > > 對抗性攻擊就是透過對輸入資料做微小的、人眼幾乎看不出的修改,讓 AI 模型產生完全錯誤的判斷。這不是隨機加雜訊,而是精心計算過的擾動,專門針對模型的數學弱點下手。一張熊貓的照片加上肉眼不可見的雜訊,模型就會信心滿滿地說那是長臂猿。 > > 這對所有依賴 AI 做決策的系統都是嚴重的安全威脅。 > > 就像先用生活中的例子抓住核心用途,再回頭看名詞和公式,理解會穩很多。 ### 容易混淆 > **對抗性攻擊 vs 資料投毒 vs 後門攻擊** > > 對抗性攻擊:在推論階段修改輸入資料,讓已訓練好的模型判斷錯誤。 > > 資料投毒:在訓練階段污染訓練資料,讓模型從根本上學歪。 > > 後門攻擊:在訓練時植入隱藏的觸發器,平時正常,特定條件觸發時才出錯。 > > 最關鍵的區別:對抗性攻擊不動模型本身,只動輸入;資料投毒和後門攻擊動的是模型的訓練過程。 ### 記住這句就好 > 人眼看不出差別,AI 卻判斷完全相反。 ### 實際案例 > **自駕車交通標誌辨識** > > 研究者在停車標誌上貼了幾張特定位置的小貼紙,人類一看就知道是停車標誌,但自駕車的視覺系統卻把它辨識為限速 45 英里標誌。這種「實體世界」的對抗性攻擊比數位攻擊更危險,因為它能在真實環境中生效。 > > **語音助手劫持** > > 研究者把人耳聽不到的超音波指令嵌入一段正常的音樂中,播放這段音樂時,旁邊的智慧音箱會執行隱藏的指令(如撥打電話、打開網頁)。使用者完全不知道發生了什麼事。 ### 深入了解 > **常見的對抗性攻擊方法** > > | 方法 | 原理 | 特點 | > |---|---|---| > | FGSM(快速梯度符號法) | 沿著損失函數梯度的方向加一步擾動 | 速度快但攻擊力較弱 | > | PGD(投影梯度下降) | 多步迭代的 FGSM,每步都限制擾動大小 | 更強但更慢 | > | C&W 攻擊 | 把攻擊轉化為最佳化問題,最小化擾動量 | 攻擊力最強,幾乎不可察覺 | > | 黑盒攻擊 | 不需要知道模型內部結構,只靠輸出結果探測 | 更接近真實攻擊場景 | ### 情境判斷 > **Q1(直覺題):** 你的人臉辨識門禁系統被發現可以用一副特殊花紋的眼鏡騙過。這是對抗性攻擊還是系統 bug? > > → 對抗性攻擊。眼鏡的花紋是精心設計的擾動,專門讓模型把一個人誤認為另一個人。這不是系統功能上的 bug,而是模型本身的數學弱點。 > > **Q2(判斷題):** 你要部署一個醫療影像 AI,有人擔心對抗性攻擊的風險。你應該花大量資源做對抗性防禦,還是先把精力放在提升模型基本準確率? > > → 看威脅模型。如果攻擊者有動機(如保險詐欺)且有管道修改輸入影像,對抗性防禦很重要。但如果影像來源可信(如醫院內部設備直接傳輸),被攻擊的可能性低,先提升基本準確率更務實。安全投資要跟實際風險匹配。 ### 常見問題 > **Q:普通用戶需要擔心對抗性攻擊嗎?** > 目前大多數對抗性攻擊還在學術研究階段,真實世界的大規模攻擊案例不多。但隨著 AI 在自駕車、金融、安防等高風險領域的普及,這個威脅會越來越真實。 > > **Q:有沒有辦法完全防禦對抗性攻擊?** > 目前沒有萬能的防禦方法。最常用的是「對抗性訓練」(把對抗樣本加進訓練資料),但這只能防禦已知的攻擊方法。攻防之間是一場持續的軍備競賽。 > > **Q:對抗性攻擊只影響圖像辨識嗎?** > 不是。文本、語音、表格資料都可以被攻擊。例如在文本中替換幾個同義詞就能讓情感分析模型判斷反轉,在語音中加入人耳聽不到的雜訊就能改變語音辨識的結果。 ### 相關術語 > - **對抗性穩健**:衡量模型抵抗對抗性攻擊的能力 > - **後門攻擊**:另一種 AI 安全威脅,在訓練階段下手 > - **資料投毒攻擊**:污染訓練資料的攻擊方式 > - **穩健性**:模型面對各種干擾時的穩定程度 > - **人工智慧安全**:對抗性攻擊是 AI 安全研究的核心議題 --- 來源:https://aiterms.tw/terms/adversarial-attack 快查頁:https://aiterms.tw/terms/adversarial-attack 最後更新:2026/04/29 深度解說:https://aiterms.tw/learning/what-is-adversarial-attack