Come l’intelligenza artificiale può essere imbrogliata con la stampa 3D … e gli adesivi
L’intelligenza artificiale è molto promettente in molte aree, ma è ancora spaventosamente facile ingannare o confondere, si scopre. Recentemente, un gruppo di ricercatori ha testato un algoritmo di intelligenza artificiale con la stampa 3D di una tartaruga e di altri oggetti. La tartaruga potrebbe essere sembrata una tartaruga alla maggior parte degli umani, ma l’intelligenza artificiale non poteva gestire la replica stampata in 3D – l’algoritmo ha dichiarato che si trattava di un fucile. Non esattamente vicino, né la sua identificazione di un baseball stampato in 3D come un espresso.
Questa era, in effetti, la reazione che gli scienziati speravano. Usando sottili alterazioni impercettibili per l’occhio umano, hanno cambiato gli oggetti in un modo che li renderebbe irriconoscibili all’intelligenza artificiale. La tecnica è indicata come un attacco contraddittorio, un modo per ingannare l’intelligenza artificiale senza essere evidente agli umani.
Un algoritmo AI che identifica una tartaruga come un fucile o una palla da baseball come il caffè può sembrare innocuo e divertente, ma le implicazioni sono preoccupanti. Dawn Song, un informatico dell’Università della California, Berkeley e colleghi hanno eseguito un esperimento lo scorso anno in cui hanno messo adesivi su un segnale di stop per confondere un tipo comune di intelligenza artificiale per il riconoscimento di immagini. Ha funzionato: l’IA ha identificato il segnale di stop come un segnale limite di velocità di 45 miglia all’ora. Immagina tutti gli adesivi e i graffiti che hai visto sui segnali stradali prima, e poi immagina le auto autonome che cercano di identificarli: potrebbe essere disastroso.
Song ha anche menzionato un trucco in cui un Hello Kitty è stato inserito in una vista di IA per il riconoscimento di immagini di una scena di strada. Le macchine nella scena semplicemente scomparvero. Se un mondo pieno di auto autonome verrà davvero in futuro, come molti dicono, gli incidenti catastrofici potrebbero essere causati dagli hacker che incasinano la visione dell’IA da parte del riconoscimento delle immagini. Ecco perché esperimenti come questi sono eseguiti da scienziati – per portare alla luce i punti deboli di questi sistemi in modo che possano essere migliorati.
La cosa più terrificante è il modo in cui gli hacker possono potenzialmente modificare le immagini per ingannare l’intelligenza artificiale senza che gli esseri umani siano consapevoli. In quello che viene chiamato un attacco white box, gli hacker possono vedere i gradienti dell’IA, che descrivono come un leggero cambiamento in un’immagine o suono in ingresso può spostare l’output in una certa direzione. Conoscendo i gradienti, gli hacker possono calcolare come modificare leggermente gli input, un po ‘alla volta, per creare l’uscita sbagliata, provocando l’IA a chiamare una tartaruga un fucile, per esempio. È un grande cambiamento per l’intelligenza artificiale, eppure così lieve che gli umani non possono vederlo.
Gli sviluppatori di intelligenza artificiale stanno lavorando su tecniche per combattere questi attacchi. Ad esempio, una tecnica incorpora la compressione delle immagini come passaggio nel riconoscimento di immagini AI. Questo aggiunge frastagliatura ai gradienti. Ma anche questi metodi possono essere abilmente superati. In un altro documento recente, un team di scienziati ha analizzato nove algoritmi di riconoscimento delle immagini di una recente conferenza. Sette degli algoritmi si basavano su offuscamento del gradiente e il team è stato in grado di suddividerli tutti in sette modi, aggirando la compressione dell’immagine. Ogni caso non ha richiesto più di un paio di giorni per hackerare.
Un’altra possibilità è quella di addestrare un algoritmo con determinati vincoli che impediscono di essere confusi, utilizzando metodi verificabili e matematici. Song è preoccupata per i limiti del mondo reale di queste difese, tuttavia.
“Non esiste una definizione matematica di cosa sia un pedone, quindi come possiamo dimostrare che l’auto che guida da sola non sarà un pedone?”, Ha detto. “Non puoi!”
Questi esempi sono snervanti promemoria di quanto sia imperfetta l’intelligenza artificiale e quanto facilmente possa essere corrotta. Quindi dovremmo abbandonare del tutto l’idea di automobili autonome? Certo che no – ma resta il fatto che con tutta la tecnologia, c’è una corsa continua tra hacker e coloro che cercano di salvaguardarsi dall’hacking. Il fatto che queste debolezze siano state esposte significa che sviluppatori e programmatori possono prepararsi meglio a tali attacchi, e forse rendere i loro algoritmi AI più infallibili nel momento in cui vediamo effettivamente le strade riempirsi di auto autonome.
Se desideri leggere l’intero documento, intitolato “Sintetizzare robusti esempi di contraddittorio”, sugli oggetti stampati in 3D usati per ingannare l’intelligenza artificiale, puoi accedervi qui . Gli autori includono Anish Athalye, Logan Engstrom, Andrew Ilyas e Kevin Kwok.