击败人类又怎样？“超人”AI简直不堪一击？研究发现：ChatGPT等大模型也不行

撰文 | 田小婷

棋类游戏一直以来都是人类智力的重要考验，近年来也被作为 AI 系统智能化水平的“试金石”。在围棋中，两名玩家轮流将黑白棋子放在网格上，包围和吃掉对方的棋子。

此前，围棋 AI 系统 KataGo 因击败顶级人类棋手的能力而广受瞩目，随着人们对 AI 是否能真正超越人类智能的不断质疑，KataGo 也成为人类和一些 AI 系统不断挑战的对象。

早在 2022 年，研究团队便通过训练对抗性 AI 机器人，发现尽管这些机器人总体上不是优秀的围棋选手，但它们能够找到并利用 KataGo 的特定弱点，经常性地击败 KataGo。此外，人类也可以理解机器人的这些伎俩，并用来击败 KataGo。

这究竟是一次偶然，还是这项研究成果揭示了 KataGo 的根本弱点，进而揭示了其他看似具有超人能力的 AI 系统的根本弱点？

为了验证这一猜想研究，他们使用对抗机器人测试了围棋 AI 遭受此类攻击的三种防御方法——位置对抗性训练、迭代对抗性训练以及更改网络架构，这些方法分别针对 KataGo 的已知漏洞进行了不同层面的改进与防御。

图｜围棋对抗性攻击的三种防御策略，左图：位置对抗性训练；中间：迭代对抗性训练；右图：用视觉 Transformer（ViT）替代卷积神经网络的训练（来源：论文）

第一种防御方法是 KataGo 开发人员在 2022 年攻击事件后已经部署的方法，与 KataGo 自学围棋的方法类似，他们给 KataGo 提供攻击所涉及的棋盘位置示例，让它自己下棋，来学习如何应对这些位置。他们发现，即使是这种升级版的 KataGo，对抗型机器人也能学会击败它，胜率高达 91%。

他们尝试的第二个防御策略是迭代对抗性训练，该方法模拟了一个持续的 “军备竞赛”，在对抗性训练中不断引入新的攻击和防御策略。针对对抗机器人训练一个版本的 KataGo，然后对更新后的 KataGo 训练攻击者，如此反复九次。尽管这种方法在一定程度上提升了 KataGo 的防御能力，但仍未能完全解决适应性攻击的问题，对手不断发现新的漏洞，最后一个升级的对抗性机器人在 81% 的情况下击败了 KataGo。

研究表明，这些防御方法均未能起到有效作用，对抗性机器人依然能够找到 KataGo 的漏洞，并击败它们。具体来说，位置对抗性训练的 KataGo 在面对一种 “送二收一” 的策略时表现不佳，而迭代对抗性训练的 KataGo 则容易受到 “打吃” 攻击。

考虑到 KataGo 是基于卷积神经网络（CNN）设计的计算模型，研究人员怀疑，卷积神经网络可能过于关注局部细节，而忽略了全局路径。于是，在第三种防御策略中，他们使用视觉 Transformer（ViT）替代卷积神经网络，从零开始训练了一个新的围棋 AI，在一定程度上改变了 AI 的学习模式，但仍无法完全消除循环攻击的脆弱性，在 78% 的情况下还是被击败了。

对此，最早开发出 KataGo 的纽约计算机科学家 David Wu 指出：“强大的围棋 AI 在平均表现上是超人类的，但在最糟糕的情况下并非如此。”

这项研究揭示了顶级围棋 AI 系统在对抗性策略下的脆弱性，对整个 AI 领域的安全性和可靠性提出了新的挑战。尽管 KataGo 在平均表现上优于人类，但从它在最坏情况下表现出的缺陷可以看出，构建真正稳定的 AI 系统依然任重道远。

研究人员通过三种针对围棋对抗性攻击的防御方法增加了 KataGo 的攻击难度，然而这些措施并未完全实现防御攻击，总能被以远少于训练对抗性 AI 所需的计算量成功攻击，这些防御措施的稳定性也没有达到人类的水平。

尽管如此，研究人员发现应对固定攻击的计算量较低，说明通过对大量攻击训练，围棋 AI 系统或许可以实现完全防御。

为实现这一目标，研究团队提出了两条互补方法：一是通过开发新的攻击算法来扩大攻击语料库，降低训练攻击方所需的计算量；二是通过提高对抗训练的样本效率，使被攻击方能够从有限的对抗策略中进行泛化。