Za oknom je 2022. Ako obvykle, po meste vedieš auto s vlastným riadením. Auto sa priblíži k značke zastavenia, ktorú mnohokrát prešlo, ale tentoraz sa nezastaví pred ňou. Pre vás je táto značka stopu rovnako ako ostatné. Ale pre auto je to úplne iné. O niekoľko minút skôr, bez toho, aby niekto varoval, útočník vložil na štítok malý štítok, neviditeľný pre ľudské oko, ale ktorá technológia si to nevšimne. To znamená, že malá nálepka na značke zmenila stopku na niečo úplne iné ako stopka.
To všetko sa môže zdať neuveriteľné. Rastúca oblasť výskumu však dokazuje, že umelá inteligencia môže byť podvedená do niečoho podobného, ak vidí drobné detaily, ktoré sú pre človeka úplne neviditeľné. Pretože algoritmy strojového učenia sa stále viac objavujú na našich cestách, našich financiách, zdravotníckom systéme, počítačoví vedci dúfajú, že sa naučia viac o tom, ako ich chrániť pred takýmito útokmi - skôr ako sa ich niekto skutočne pokúsi oklamať.
„Toto je rastúci problém v oblasti strojového učenia a AI komunity, najmä preto, že sa tieto algoritmy používajú čoraz viac,“hovorí Daniel Lode, odborný asistent na Katedre počítačovej a informačnej vedy na University of Oregon. „Ak spam prechádza alebo je blokovaný niekoľkými e-mailmi, nejde o koniec sveta. Ale ak sa spoliehate na systém videnia v samo-riadiacom aute, ktoré povie automobilu, ako jazdiť bez toho, aby narazilo na čokoľvek, vklad je oveľa vyšší. “
Či sa stroj pokazí, alebo sa hackne, algoritmy strojového učenia, ktoré „uvidia“svet, budú trpieť. A tak k autu panda vyzerá ako gibbon a školský autobus vyzerá ako pštros.
V jednom experimente vedci z Francúzska a Švajčiarska ukázali, ako by takéto poruchy mohli spôsobiť, že počítač zamenil veveričku za sivú líšku a kávovú kanvicu za papagája.
Ako je to možné? Zamyslite sa nad tým, ako sa vaše dieťa učí rozpoznávať čísla. Pri pohľade na symboly jeden po druhom si dieťa začne všímať niektoré spoločné vlastnosti: niektoré sú vyššie a štíhlejšie, šestky a deväť obsahujú jednu veľkú slučku a osem obsahuje dve, atď. Akonáhle uvidia dostatok príkladov, dokážu rýchlo rozpoznať nové čísla ako štyri, osem alebo trojčatá - aj keď vďaka písmu alebo písaniu rukou nevyzerajú presne ako akékoľvek iné štvorice, osem alebo trojčatá, aké kedy mali. už predtým.
Algoritmy strojového učenia sa učia čítať svet pomocou podobného procesu. Vedci kŕmia počítač stovkami alebo tisíckami (zvyčajne označených) príkladov toho, čo by chceli v počítači nájsť. Keď stroj prechádza údajmi - jedná sa o číslo, nie je to, je to číslo, nie je - začne si všímať vlastnosti, ktoré vedú k odpovedi. Čoskoro sa môže pozrieť na obrázok a povedať: „To je päť!“s vysokou presnosťou.
Propagačné video:
Ľudské deti aj počítače sa tak môžu naučiť rozoznávať veľké množstvo predmetov - od čísel po mačky, od člnov po jednotlivé ľudské tváre.
Na rozdiel od ľudského dieťaťa však počítač nevenuje pozornosť detailom vysokej úrovne - ako sú chlpaté uši mačiek alebo výrazný uhlový tvar týchto štyroch. Nevidí celý obraz.
Namiesto toho sa zameriava na jednotlivé pixely v obraze - a najrýchlejší spôsob, ako separovať objekty. Ak má drvivá väčšina jednotiek čierny pixel v určitom bode a niekoľko bielych pixelov v iných bodoch, stroj sa veľmi rýchlo naučí ich určovať pomocou niekoľkých pixelov.
Teraz späť k značke stop. Neodôvodniteľnou korekciou pixelov v obraze - odborníci túto interferenciu nazývajú „poruchami“- môžete podviesť počítač, aby si myslel, že v skutočnosti neexistuje žiadna stopka.
Podobné štúdie z laboratória Evolutionary Artificial Intelligence Lab na University of Wyoming a Cornell University priniesli niekoľko optických ilúzií pre umelú inteligenciu. Tieto psychedelické obrazy abstraktných vzorov a farieb nie sú na ničom podobné ľuďom, ale počítač ich rýchlo rozpozná ako hady alebo pušky. To naznačuje, ako môže AI pozerať na niečo a nevidieť objekt, alebo vidieť niečo iné.
Táto slabina je bežná vo všetkých typoch algoritmov strojového učenia. „Dalo by sa očakávať, že každý algoritmus bude mať otvor v brnení,“hovorí Yevgeny Vorobeichik, odborný asistent počítačovej vedy a výpočtovej techniky na Vanderbiltovej univerzite. "Žijeme vo veľmi komplexnom mnohorozmernom svete a algoritmy svojou podstatou ovplyvňujú iba malú časť."
Sparrow je „veľmi presvedčený“, že ak tieto zraniteľné miesta existujú, niekto príde na to, ako ich zneužiť. Pravdepodobne to už niekto urobil.
Zvážte filtre spamu, automatické programy, ktoré odfiltrujú nepríjemné e-maily. Spameri sa môžu pokúsiť obísť túto bariéru zmenou pravopisu slov (namiesto Viagra - vi @ gra) alebo pridaním zoznamu „dobrých slov“, ktoré sa zvyčajne nachádzajú v normálnych písmenách: ako „aha“, „ja“, „rád“. Medzitým sa môžu spammeri pokúsiť odstrániť slová, ktoré sa často objavujú v spamu, napríklad „mobil“alebo „výhra“.
Kde sa môžu podvodníci dostať do jedného dňa? Samohybné auto oklamané nálepkou stopky je klasický scenár, ktorý vymysleli odborníci v tejto oblasti. Ďalšie údaje môžu pomôcť pornografii prekĺznuť cez bezpečné filtre. Iní sa môžu pokúsiť zvýšiť počet kontrol. Hackeri môžu vylepšiť kód škodlivého softvéru, aby sa vyhli vymáhaniu práva.
Útočníci môžu zistiť, ako vytvoriť chýbajúce údaje, ak dostanú kópiu algoritmu strojového učenia, ktorý chcú oklamať. Nemusí to však ísť cez algoritmus. Človek to môže jednoducho zlomiť hrubou silou hádzaním mierne odlišných verzií e-mailov alebo obrázkov, až kým neprejdú. Postupom času by sa dalo dokonca použiť na úplne nový model, ktorý vie, čo hľadajú dobrí chlapci a aké údaje majú produkovať, aby ich oklamali.
„Ľudia manipulujú so systémami strojového učenia už od ich prvého uvedenia na trh,“hovorí Patrick McDaniel, profesor počítačovej vedy a inžinierstva na University of Pennsylvania. „Ak ľudia používajú tieto metódy, možno o tom ani nebudeme vedieť.“
Tieto metódy môžu využívať nielen podvodníci - ľudia sa môžu skrývať pred röntgenovými očami moderných technológií.
„Ak ste nejakým politickým disidentom v represívnom režime a chcete viesť udalosti bez znalosti spravodajských služieb, možno budete musieť vyhnúť automatickým metódam pozorovania založeným na strojovom učení,“hovorí Lode.
V jednom projekte uverejnenom v októbri vedci na univerzite Carnegie Mellon University vytvorili pár okuliarov, ktoré môžu jemne zavádzať systém rozpoznávania tváre, čo počítaču pomýli s herečkou Reese Witherspoon pre Russell Crowe. Znie to smiešne, ale takáto technológia by sa mohla hodiť pre kohokoľvek, kto sa zúfalo snaží vyhnúť cenzúre u moci.
Čo s tým všetkým robiť? „Jediným spôsobom, ako sa tomu úplne vyhnúť, je vytvoriť dokonalý model, ktorý bude vždy správny,“hovorí Lode. Aj keby sme mohli vytvoriť umelú inteligenciu, ktorá predstihuje človeka vo všetkých ohľadoch, svet môže prasacie prasa poslať na neočakávané miesto.
Algoritmy strojového učenia sa zvyčajne posudzujú na základe ich presnosti. Program, ktorý rozpoznáva stoličky 99% času, bude jednoznačne lepší ako program, ktorý uznáva 6 stoličiek z 10. Niektorí odborníci však navrhujú iný spôsob, ako posúdiť schopnosť algoritmu vyrovnať sa s útokom: čím ťažšie, tým lepšie.
Ďalším riešením by mohlo byť to, aby odborníci boli schopní určiť tempo programov. Vytvorte si vlastné príklady útokov v laboratóriu na základe schopností zločincov podľa vášho názoru a potom ich ukážte algoritmu strojového učenia. To mu môže pomôcť časom stať sa odolnejším - samozrejme za predpokladu, že testovacie útoky sú typu, ktorý sa bude testovať v reálnom svete.
„Systémy strojového učenia sú nástrojom na premýšľanie. Musíme byť inteligentní a racionálni, čo im dávame a čo nám hovoria, “povedal McDaniel. „Nemali by sme s nimi zaobchádzať ako s dokonalými výrazmi pravdy.“
ILYA KHEL
