Atacs de píxels terrorisme del futur

2022/09/01 López-Gazpio, Iñigo - Adimen artifizialeko ikertzaileaDeustuko Unibertsitatea. Iturria: Elhuyar aldizkaria

Amb cada lluna plena la intel·ligència artificial es converteix en una part cada vegada més important de l'ésser humà. No hi ha dubte que la intel·ligència artificial ha conquistat en els últims anys uns objectius inversemblants, mentre que aquests sistemes intel·ligents tenen alguns aspectes foscos que no estimulen l'interès per fer-se públics en la societat. En aquest article parlaré d'una feblesa dels sistemes de processament d'imatges, els atacs de píxel, per a conèixer un aspecte menys positiu dels sistemes intel·ligents basats en xarxes neuronals i comprendre els riscos d'aquests sistemes de processament d'imatges. Segurament després de llegir aquest article no voldreu tornar a adormir-vos en els vostres cotxes autònoms.

El cotxe autònom suposa simplificar l'experiència de conducció. Ed. Domini públic

Bàsicament, l'agressió de píxels consisteix a invertir l'entrenament habitual de les xarxes neuronals. En situacions normals, per a entrenar un sistema de xarxes neuronals s'utilitza una enorme gamma d'imatges que ensenyen al sistema i aprenen a interpretar el que hi ha en la imatge. En aquest procés d'operació, s'ajusten els paràmetres del sistema amb les prediccions errònies de la xarxa neuronal, que permeten millorar contínuament els resultats del sistema durant el període de formació.

Encara que al principi cometen molts errors, després d'haver estat aprenent el temps suficient, els sistemes milloren molt fins que estan completament ajustats. En l'actualitat, els sistemes de reconeixement d'imatges ofereixen, en general, molt bons resultats; en molts casos, són capaços de reconèixer gairebé el 100% de les imatges si no hi ha objectes estranys entre ells [1]. Quan la xarxa neuronal no pot ajustar-se més, s'interromp l'entrenament, s'avalua el sistema i s'emporta a producció. Aquests sistemes intel·ligents, totalment ajustats per als cotxes, formen part dels sistemes de navegació de cotxes autònoms, entre altres, per a configurar el cotxe de manera que permeti la visió. En la següent figura es pot analitzar una imatge d'un sistema de reconeixement per a un cotxe autònom. Com es veu en la imatge, aquests sistemes permeten al cotxe identificar els objectes, les persones, els animals, etc. que li envolten.

Entrenament habitual d'un sistema de xarxes neuronals. Es mostra un conjunt d'imatges que ensenyen al sistema a conèixer el seu aspecte i característiques. S'utilitzen els errors del sistema per a adaptar-lo i evitar que es repeteixin els mateixos errors en el futur. Ed. Iñigo López Gazpio

Utilitzant tota aquesta informació de manera introductòria, els cotxes autònoms decideixen fer la navegació de la millor manera i amb la major seguretat possible: si hi ha riscos, alentir o parar la velocitat, accelerar si la carretera està lliure i no se superen els límits de velocitat, desplaçar si el carril dret està lliure, alentir i desplaçar als ciclistes per a avançar-los, etc.

Per contra, si l'ajust de la xarxa neuronal es posa potes enlaire…

Existeix la possibilitat d'enganyar xarxes neuronals modificant les imatges d'entrada. És a dir, si s'inverteix el procés d'entrenament de la xarxa neuronal mostrant a la xarxa una imatge falsa i un objectiu, es pot obtenir la pertorbació que cal fer en la imatge original per a fer-li creure que s'ha enganyat la xarxa i que realment se li ha mostrat una altra imatge. Aquest tipus de mesures que es poden realitzar a la intel·ligència artificial és molt perillós, per exemple, perquè els senyals de seguretat per a alentir la velocitat o per a detenir-la poden convertir-se en senyals d'acceleració. La següent figura mostra un senzill exemple d'atac de píxel. Com es pot observar, si s'afegeix soroll a un senyal de prohibició de la circulació, es converteix en un senyal més per a un sistema intel·ligent de reconeixement d'objectes, encara que l'ésser humà no pot veure aquest canvi a simple vista.

Un sistema de solucions perfectament ajustades permet que el cotxe autònom sigui capaç de percebre els objectes que li envolten. Font [2, Choi et al. ].

A aquest fenomen se'n diu atac de la imatge oposada (adversarial attack, en anglès) i constitueix una línia de recerca significativa per als qui actualment estan investigant sobre la seguretat del cotxe autònom. Aquesta tècnica de modelatge d'imatges i frau de sistemes obre una interessant línia de recerca sobre la confiança i avaluació dels sistemes intel·ligents.

Per tant, pot ser interessant investigar la quantitat de pertorbacions que cal afegir a les imatges per a enganyar un sistema intel·ligent. L'estudi de recerca de Samsung realitzat per Kevin i els seus col·laboradors és el més terrorífic de totes les recerques escrites en aquesta matèria. En aquest article se subratlla que el nivell de pertorbació que ha d'afegir-se per a enganyar una xarxa neuronal és molt baix [3], la qual cosa suposa un greu problema per als futurs usuaris de cotxes autònoms. En aquesta labor de recerca, els autors posen de manifest que basta un petit canvi en un senyal d'ús com un grafiti per a configurar un sistema de cotxe autònom que funcioni com un autèntic frau. N'hi ha prou amb utilitzar una cinta blanca i una altra negra a l'hora de convertir un senyal de stop en un senyal de limitació. És terrible. En la següent figura es descriu, de manera esquemàtica, el cas concret al qual es refereixen els autors en l'article.

Què es pot fer per a protegir els sistemes de xarxes neuronals contra aquesta mena d'atacs?

Si s'afegeix pertorbació a una imatge original, es pot enganyar una xarxa neuronal i fer pensar que realment ha vist una altra imatge. A això se'n diu atac de la imatge oposada (adversarial attack) i constitueix avui una línia de recerca important. Ed. Iñigo López Gazpio

Les últimes recerques han demostrat que els atacs basats en imatges adverses no depenen de sistemes de xarxes neuronals, sinó de conjunts de dades utilitzades per a ajustar-los. És a dir, són una característica pròpia del conjunt de dades. Això vol dir que les mostres adaptades que serveixen per a enganyar una arquitectura de xarxes neuronals són vàlides per a enganyar una altra arquitectura, sempre que hagin compartit un mateix conjunt de dades d'ajust en la data. Atès que la generació de grans conjunts de dades és un procés costós i complex, és molt habitual que molts sistemes de xarxes neuronals estiguin ajustats als mateixos conjunts de dades. Això implica que la influència de la tècnica de la imatge oposada pot ser molt greu i que han d'estudiar-se les formes de protecció d'aquesta mena d'imatges.

L'aprenentatge en contra és el mètode de protecció més conegut. És bastant simple, encara que no tenim tota la certesa que ens doni suport. Amb aquesta tècnica es construeix una xarxa neuronal robusta i antifrau, el conjunt de dades es completa amb nombrosos exemples d'oposició. Això permet que el model abandoni les característiques fràgils o febles del procés i aprengui a basar-se en trets més sòlids per a realitzar prediccions. L'èxit d'aquesta tècnica requereix la creació massiva d'exemples perversos i contraris. Però la diferència és que en la dofecha d'una xarxa neuronal es pot alentir la fase de 3 a 30 vegades perquè el conjunt de dades augmenta massivament amb aquesta mena d'imatges.

En l'actualitat, els investigadors disposen d'eines per a completar conjunts de dades amb imatges malicioses com FoolBox. Amb aquesta eina es poden generar imatges malicioses de manera automàtica i el nostre sistema intel·ligent pot ser conscient de l'existència d'aquesta mena de malicioses. Tanmateix, sembla que això s'està convertint en una guerra entre agressors i defensors, cadascun dels quals dissenya una tecnologia més recent per a dominar al contrari.

N'hi ha prou amb afegir aquesta pertorbació per a convertir un senyal de stop en un senyal de 45 km/h. Font [3, Eykholt et al].

Tot això és culpa de la intel·ligència artificial?

Com hem vist, la tècnica de les imatges adverses pot produir problemes molt greus en situacions en les quals la seguretat és tan important, i trompeta les últimes xarxes neuronals. Això és pel fet que les xarxes neuronals es basen en característiques febles i no entenen o estudien bé la imatge. Però el mateix problema ens passa als humans, perquè el nostre cervell inútil ens fa trucs similars quan ataquem amb imatges com les de la il·lusió òptica.

Si ens fixem en aquesta mena d'il·lusions òptiques, al principi sembla que les línies no són paral·leles, sinó que en observar-les de prop aquestes línies són paral·leles les unes a les altres. Igual que nosaltres, els sistemes de xarxes neuronals també necessiten aquest punt d'atenció per a ser conscients dels trucs que les figures oposades volen imposar. De fet, les imatges oposades i els atacs de píxel són només imatges que ens obliguen a veure coses que realment no existeixen.

La il·lusió òptica capaç d'enganyar el cervell humà és un exemple d'atac de píxel humà. Il·lustració: Domini públic.

En els pròxims anys, el desenvolupament dels nous sistemes de comercialització i comercialització serà el joc continu del gat i el ratolí. Això, en definitiva, donarà lloc a models més sòlids i fiables, constituint un pas important cap a aplicacions crítiques de seguretat com els cotxes autònoms. No obstant això, de moment és millor no allunyar-se massa de les mans del volant per si de cas.

Referències

[1] Janai, J., Güney, F. Behl, A. & Geiger, A. (2020). Computer vision for autonomous vehicles: Problems, datasets and state of the art. Foundations and Trends® in Computer Graphics and Vision, 12(1–3), 1-308.
[2] Choi, J., Chun, D., Kim, H., & Lee, H. J. (2019). Gaussián yolov3: An accurate and fast object detector using localization uncertainty for autonomous driving. En Proceedings of the IEEE/CVF International Conference on Computer Vision (pàg. 502-511).
[3] Eykholt, K. Evtimov, I., Fernandes, E. Li, B, Rahmati, A. Xiao, C., ... & Song, D. (2018). Robust physical world attacks on deep learning visual classification. En Proceedings of the IEEE conference on computer vision and pattern recognition (pàg. 1625-1634).