你以為是水果圖像分類的任務，實際是男女分類任務，這并非不可能。研究人員在機器學習領域引入了一種新的隱寫術，偽裝訓練集，隱藏任務的意圖和目標，從而可以訓練AI系統執行秘密任務。

將信息隱藏在顯而易見的地方，使其存在不被懷疑，這就是隱寫術。

隱寫術并不新鮮。早在公元前5世紀，信使們就會剃光頭發，并在頭上寫下信息。等到他們重新長出頭發，就能隱藏信息。只有預定的收信人知道要剃光信使的頭發來獲得信息。

在現代，隱寫技術常被用來檢測未經授權的數字媒體分發。需要注意的是，隱寫術(steganography)不同于密碼學(crypotgraphy)，后者的目的是隱藏數據內容。如果監視數據的人可以更改數據或完全停止數據傳輸，就無法使用加密了。在這種情況下，隱寫術變得非常重要，因為我們不希望任何介入的竊聽者會覺得可疑并停止數據傳輸。

在最近的研究中，威斯康星大學麥迪遜分校和阿默斯特學院的研究人員在機器學習領域引入了一種新的隱寫術，稱為“訓練集偽裝”(training set camouflage)。

他們設想了這樣一個場景：一個機器學習智能體(Alice)試圖訓練另一個智能體(Bob)去完成一項秘密的分類任務，而且要避免被第三個智能體(Eve)竊聽。

他們在arXiv上預先發表的一篇論文中概述了他們的框架，該框架允許機器學習智能體向第三方觀察者隱藏任務的意圖和目標。

圖1：訓練集偽裝的示例。(a) 偽裝的訓練集 (b)秘密的分類任務

圖1a所示的分類訓練集中，上面一行包含正類(+)的實例，下面一行是負類(-)的實例。這些圖像可以輸入給機器學習系統，以學習一個模型，該模型將成功地將從未見過的實例(圖像)分類為+或-。

如果你認為這個任務是水果圖像分類(橙子vs.蘋果)，那么你已經被成功地愚弄了。實際的任務是對女性和男性進行分類，如圖1b所示。事實上，一個標準的邏輯回歸學習器僅對圖1a中的圖像進行訓練，就可以對圖1b中的圖像得到較高的性別分類準確率。

在這篇論文中，研究人員設想了一個智能體Alice，她有一個秘密的分類任務(例如，對女性和男性的圖像進行分類)和一個相應的私人訓練集(女性和男性的圖像)。Alice想訓練第二個智能體，Bob，來完成這個秘密任務。

“訓練集偽裝”的框架

研究人員在論文中寫道：“想象一下，Alice有一個非法機器學習分類任務的訓練集。Alice想讓Bob(一個機器學習系統)來學習這個任務。然而，如果通信受到監控，訓練集或訓練模型被發送給Bob，就會引起懷疑。”

在研究人員設想的場景中，名為Eve的第三個智能體扮演數據檢驗者的角色，監視Alice和Bob之間的通信。當Eve對Alice發送給Bob的內容產生懷疑時，她可以終止它們之間的通信，并拒絕將數據傳遞給Bob)。Eve作為審核者，在將訓練數據傳遞給學習者之前，他會試圖弄清楚該數據集是否合法。

“發送私人訓練集會暴露Alice的意圖；發送模型參數方向也會引起懷疑。Alice必須偽裝通信，讓通信內容在Eve看起來平淡無奇，同時避免事先與Bob使用過多的編碼技巧。”

他們展示了Alice如何為一個隱秘任務構建一個偽裝的數據集，其中(i)這個訓練集在Eve看來是不可疑的，(ii)能讓Bob學習秘密任務的準確模型。在前面的例子中，Eve注意到Alice發送的蘋果和橘子的圖像看起來是正常的，而對Alice關于女性vs男性分類的秘密任務一無所知。

研究人員設計的隱寫術方法允許Alice在一個完全不同的、看起來良好的分類任務上計算第二個訓練集，而不會引起Eve的懷疑。它通過查找看起來可以應用于特定任務的數據集來實現這一點，而實際上它可以教會智能體在不同的任務中表現良好。通過將它的標準學習算法應用于第二個訓練集，Bob可以近似恢復原始任務上的分類器。

研究人員設計出這種隱寫法某種程度上是偶然，因為它來自機器學習領域的一個不相關的項目。他們開發的系統創建了一系列的教學集，其中一個包括有錯誤的標簽點。這鼓勵他們研究一個智能體是否可以教另一個智能體如何完成任務，同時這個任務是用另一個任務偽裝的。

研究人員使用真實的分類任務進行了一系列的實驗，證明了他們的方法的可行性。他們的研究表明，只要利用以下事實就可以隱藏大量信息：對于任何給定的任務，都有幾個模型可以很好地執行該任務。