Izvan prozora je 2022. Vozite se osobnim automobilom, kao i obično, kroz grad. Automobil se približava znaku zaustavljanja, koji je prošao već mnogo puta, ali ovaj put se ne zaustavlja ispred njega. Za vas je ovaj znak zaustavljanja poput ostalih. Ali za automobil je potpuno drugačije. Nekoliko minuta ranije, bez da je iko upozorio, napadač je zalijepio malu ploču na znak, nevidljivu ljudskom oku, ali koju tehnologija ne može primijetiti. Odnosno, sitna naljepnica na znaku pretvorila je znak stop u nešto potpuno drugo od znaka stop.
Sve to može izgledati nevjerojatno. Ali sve veće područje istraživanja dokazuje da se umjetna inteligencija može prevariti u ovako nešto ako vidi neki sitni detalj koji je čovjeku potpuno nevidljiv. Kako se algoritmi strojnog učenja sve češće pojavljuju na našim cestama, u našim financijama, u našem zdravstvenom sustavu, računalni znanstvenici nadaju se da će naučiti više o tome kako ih zaštititi od takvih napada - prije nego što ih netko stvarno pokuša prevariti.
"Rastuća je briga o strojnom učenju i AI zajednici, pogotovo što se ovi algoritmi sve više i više koriste", kaže Daniel Lode, docent na katedri za računalne i informacijske znanosti na Sveučilištu u Oregonu. "Ako neželjena pošta prođe kroz ili je blokirana s nekoliko poruka e-pošte, ovo nije kraj svijeta. Ali ako se oslanjate na sustav vida u automobilu koji se samo vozi, a koji automobil govori kako se vozi bez da se sudari u bilo što, ulozi su mnogo veći."
Bilo da se stroj pokvari ili pokvari, trpjet će algoritmi strojnog učenja koji „vide“svijet. I tako do automobila, panda izgleda kao gibon, a školski autobus izgleda kao noj.
U jednom su pokusu znanstvenici iz Francuske i Švicarske pokazali kako takve smetnje mogu uzrokovati da računalo pogreši vjevericu za sivu lisicu, a lonac za kavu papiga.
Kako je ovo moguće? Razmislite o tome kako vaše dijete uči prepoznati brojeve. Gledajući simbole jedan po jedan, dijete počinje primjećivati neke uobičajene karakteristike: neke su veće i vitkeje, šezdesete i devete sadrže jednu veliku petlju, a osmera sadrže dvije i tako dalje. Jednom kada vide dovoljno primjera, brzo mogu prepoznati nove brojeve kao četveronoške, osmice ili trojke - čak i ako, zahvaljujući fontu ili rukopisu, ne izgledaju baš poput ostalih četvorki, osmica ili trojki koje ikada imaju. viđeno prije.
Algoritmi strojnog učenja uče čitati svijet kroz pomalo sličan postupak. Znanstvenici hrane računarom stotine ili tisuće (obično označenih) primjera onoga što bi željeli pronaći na računalu. Kad stroj prosijava podatke - ovo je broj, ovo nije, ovo je broj, ovo nije - počinje primjećivati značajke koje dovode do odgovora. Uskoro će možda pogledati sliku i reći: "To je pet!" s velikom preciznošću.
Promotivni video:
Tako i ljudska djeca i računala mogu naučiti prepoznati ogroman niz predmeta, od brojeva do mačaka, od brodica do pojedinačnih ljudskih lica.
No, za razliku od ljudskog djeteta, računalo ne obraća pažnju na detalje na visokoj razini - poput krznenih ušiju mačaka ili izrazitog kutnog oblika četvorke. Ne vidi cijelu sliku.
Umjesto toga, pojedinačne piksele pregledavaju u slici - i najbrži način za odvajanje objekata. Ako velika većina jedinica ima crni piksel u određenom trenutku i nekoliko bijelih piksela na drugim točkama, uređaj će ih vrlo brzo naučiti odrediti s nekoliko piksela.
Sada se vratimo znaku stop. Neprimjetnim ispravljanjem piksela na slici - stručnjaci ovu smetnju nazivaju "uznemirenosti" - možete navesti računalo na razmišljanje da ne postoji znak zaustavljanja.
Slične studije iz Laboratorija za evolucijsku umjetnu inteligenciju na Sveučilištu Wyoming i Sveučilištu Cornell proizvele su prilično nekoliko optičkih iluzija za umjetnu inteligenciju. Ove psihodelične slike apstraktnih uzoraka i boja nisu ljudske za razliku od bilo čega, ali računalo ih brzo prepoznaje kao zmije ili puške. Ovo sugeriše kako AI može gledati nešto, a ne vidjeti objekt, ili umjesto njega vidjeti nešto drugo.
Ta je slabost uobičajena u svim vrstama algoritama strojnog učenja. "Očekivali bi da svaki algoritam ima rupu u oklopu", kaže Evgeniy Vorobeichik, docent informatike i računarstva na Sveučilištu Vanderbilt. "Živimo u vrlo složenom višedimenzionalnom svijetu, a algoritmi, po svojoj prirodi, utječu na samo njegov mali dio."
Vrabac je "izuzetno uvjeren" da će, ukoliko postoje te ranjivosti, netko smisliti kako ih iskoristiti. Vjerojatno je to netko već učinio.
Razmotrite neželjene filtre, automatizirane programe koji filtriraju sve neugodne e-poruke. Spameri mogu pokušati zaobići ovu barijeru promjenom pravopisa riječi (umjesto Viagra - vi @ gra) ili dodavanjem popisa „dobrih riječi“koji se obično nalaze u normalnim slovima: poput „aha“, „ja“, „drago“. U međuvremenu, pošiljatelji neželjene pošte mogu pokušati ukloniti riječi koje se često pojavljuju u neželjenoj pošti, poput "mobilni" ili "pobijedi".
Gdje mogu prevaranti doći do jednog dana? Automobil koji se osobno vozi prevario je naljepnicu zaustavnog znaka klasičan je scenarij koji su osmislili stručnjaci s tog područja. Dodatni podaci mogu pomoći pornografiji da prođe kroz sigurne filtre. Drugi će možda pokušati povećati broj čekova. Hakeri mogu prilagoditi kôd zlonamjernog softvera kako bi izbjegli provođenje zakona.
Napadači mogu smisliti kako stvoriti nedostajuće podatke ako dobiju kopiju algoritma strojnog učenja koju žele navesti. Ali to ne mora biti kroz algoritam. Jednostavno ga možete razbiti brutalnom silom bacajući malo drugačije verzije e-pošte ili slike na njega dok ne prođu. S vremenom bi se mogao koristiti i za potpuno novi model koji zna što dobri dečki traže i koje podatke može proizvesti da bi ih prevario.
"Ljudi manipuliraju sustavima strojnog učenja od kada su prvi put predstavljeni", kaže Patrick McDaniel, profesor računalnih znanosti i inženjerstva na Sveučilištu u Pennsylvaniji. "Ako ljudi koriste ove metode, možda čak i ne znamo za to."
Ove metode mogu koristiti ne samo prevaranti - ljudi se mogu sakriti od rendgenskih očiju suvremenih tehnologija.
"Ako ste neki politički disident pod represivnim režimom i želite voditi događaje bez znanja obavještajnih službi, možda ćete trebati izbjegavati automatske metode promatranja temeljene na strojnom učenju", kaže Lode.
U jednom projektu objavljenom u listopadu, istraživači sa Sveučilišta Carnegie Mellon stvorili su par naočala koje mogu suptilno dovesti u zabludu sustav prepoznavanja lica, zbog čega je računalo pogrešilo glumicu Reese Witherspoon za Russela Crowea. Zvuči smiješno, ali takva bi tehnologija mogla biti korisna svima koji očajnički izbjegnu cenzuru od strane vlasti.
Što učiniti sa svim tim? "Jedini način da se to potpuno izbjegne je stvaranje savršenog modela koji će uvijek biti ispravan", kaže Lode. Čak i kad bismo mogli stvoriti umjetnu inteligenciju koja na svaki način nadmašuje ljude, svijet i dalje može svinju prebaciti na neočekivano mjesto.
Algoritmi strojnog učenja obično se sude o njihovoj točnosti. Program koji prepoznaje stolice u 99% vremena bit će očito bolji od onog koji prepoznaje 6 stolica od 10. No neki stručnjaci sugeriraju drugi način procjene sposobnosti algoritma da se nosi s napadom: što je teže, to bolje.
Drugo bi rješenje moglo biti da stručnjaci budu u mogućnosti postaviti tempo za programe. Napravite vlastite primjere napada u laboratoriju na temelju sposobnosti kriminalaca, a zatim ih pokažite algoritmu strojnog učenja. To može pomoći da vremenom postane otporniji - pod uvjetom da, naravno, ispitni napadi budu testirani u stvarnom svijetu.
„Sustavi strojnog učenja alat su za razmišljanje. Moramo biti inteligentni i racionalni u pogledu onoga što im dajemo i onoga što nam kažu “, rekao je McDaniel. "Ne bismo ih trebali tretirati kao savršene izreke istine."
ILYA KHEL
