⽂
|
阿
毅
编
|
⼩
轶
如
果是
咱
家
公
众
号
的
忠
实
粉
丝
就
⼀
定
还
记
得
之
前
咱
家
⼀
篇
关
于
NLP Privacy
的
⽂
章
,不
出
意
外
的
话
,
你
们
是
不
是
现
在
依
然
还
担
⼼
⾃
⼰
的
隐
私
被
输
⼊
法
窃
取
⽽
瑟瑟
发
抖
。
所
以
,
我
们
⼜
来
了
!
今
天
给
⼤
家
讨论
的
是
NLP Privacy
中
⼀个
⾮
常
核
⼼
的
话
题
——
⽂
本
对
抗
攻
击
。
相
信
⼤
家 已
经
⾮
常
熟
悉
对
抗
攻
击
了
,
此
类
攻
击
是
攻
击
者
针
对
机
器
学
习
模
型
的
输
⼊
即
数
值
型
向
量
(
Numeric Vectors
)
设计
的
⼀
种
可
以
让
模
型
做出
误
判
的
攻
击
。
简
⾔
之
,
对
抗
攻
击
就
是
⽣
成
对
抗
样本
的
过
程
。
对
抗
样本
的
概
念
最
初
是
在
2014
年
提
出
的
,
指
的
是
⼀
类
⼈为
构
造
的
样本
,
通过
对
原
始
的
样本
数据
添
加
针
对
性
的
微
⼩
扰
动
所
得
到
(
该
微
扰
不
会
影
响
⼈
类
的
感
知
),
但会使
机
器
学
习
模
型
产
⽣
错
误
的
输
出
[1]
。
因
此
,
从
上
述
定
义
可
知
,
对
抗
攻
击
以
及
对
抗
样本
的
⽣
成
研
究
最
开
始
被
⽤
于
计
算
机
视觉
领
域
。
在
当
时
,
那
家
伙
,
⽂
章
多
的
你
看
都
看
不
完
…
当
然
在
这
⾥
我
也
抛
出
当
时
写
的
⽐
较
好
的
⼀
篇
综
述
:
“Threat of
Adversarial Attacks on Deep Learning in Computer Vision: A Survey”[2]
。
⼤
家
可
以
温
故
⽽
知
新
啦
。
当
视觉
领
域
中
的
对
抗
攻
击
研
究
很
难
再
有
重
⼤
突
破的
时
候
(
坑
已
满
,
请
换
坑
),
研
究
⼈
员
便
把
⽬
光
转
移
到
了
NLP
领
域
。
其
实就
NLP
领
域
⽽
⾔
,
垃圾
邮
件
检
测
、
有
害
⽂
本
检
测
、
恶意
软
件
查杀
等
实
⽤
系统
已
经
⼤
规
模
部
署
了
深
度
学
习
模
型
,
安
全
性
对
于
这
些
系统
尤
为
重
要
。
但
相
⽐
于
图
像
领
域
,
NLP
领
域
对
抗
攻
击
的研
究
还远远
不
够
,
特
别
是
⽂
本
具
有
离
散
和
前
后
输
⼊具
有
逻辑
的
特点
使
得
对
抗
样本
的
⽣
成
更
具
挑
战
性
,
也
有更
多
的研
究空
间
。
我
们
欣
喜地
看
到
,
⽬
前
有
越
来
越
多
的
NLP
研
究
者
开
始
探
索
⽂
本
对
抗
攻
击
这
⼀
⽅
向
,
以
2020
年
ACL
为 例
,
粗
略
统
计
有
超
过
10
篇
相
关
论
⽂
,
其
中
最
佳
论
⽂
Beyond Accuracy:
Behavioral Testing of NLP Models with CheckList [3]
中
⼤
部
分
测
试
⽅
法
其
实
和
⽂
本
对
抗
攻
击
有