Che si tratti di un’immagine, un suono o altro, basta l’aggiunta di una piccola quantità di rumore per trarre in inganno le reti neurali. Poiché gli esseri umani non cadono in questi tranelli, si stanno cercando possibili soluzioni nelle neuroscienze.
L’intelligenza artificiale (IA) vede cose che noi non vediamo, spesso a suo danno. Anche se le macchine sono diventate incredibilmente brave a riconoscere le immagini, è ancora facile ingannarle. Basta aggiungere alle immagini di input una piccola quantità di rumore, non rilevabile dall’occhio umano, e l’IA improvvisamente classifica gli scuolabus, i cani o gli edifici come oggetti completamente diversi, per esempio come struzzi.
In un articolo pubblicato on line in giugno, Nicolas Papernot dell’Università di Toronto e i suoi colleghi hanno studiato diversi tipi di modelli di apprendimento automatico che elaborano il linguaggio e hanno trovato un modo per ingannarli intromettendosi nel loro testo di input in un processo nor rilevabile dagli umani. Le istruzioni nascoste sono viste solo dal computer quando legge il codice dietro il testo per mappare le lettere in byte nella sua memoria. Il gruppo di Papernot ha dimostrato che anche minuscole aggiunte, come singoli caratteri che codificano per lo spazio bianco, possono distruggere la comprensione del testo da parte del modello. E questi errori hanno conseguenze anche per gli utenti umani: in un caso, per esempio, un singolo carattere ha fatto sì che l’algoritmo producesse una frase che diceva all’utente di inviare denaro a un conto bancario errato.
Queste azioni ingannatrici sono un tipo di attacco noto come esempi avversi (od ostili), modifiche intenzionali di un input progettate per ingannare un algoritmo e fargli commettere un errore. Questa vulnerabilità è venuta alla ribalta della ricerca sull’IA nel 2013, quando i ricercatori hanno ingannato una rete neurale profonda, un modello di apprendimento automatico con molti strati di “neuroni” artificiali che eseguono calcoli.
Che si tratti di immagini, testo o altro, per ora, non disponiamo di soluzioni infallibili contro gli esempi avversi. Ma c’è speranza. Nel caso del riconoscimento di immagini, i ricercatori possono appositamente addestrare una rete neurale profonda con immagini avverse in modo che “si senta” più a suo agio nel vederle. Sfortunatamente, questo approccio, noto come addestramento avverso, permette una buona difesa solo contro gli esempi avversi che il modello ha visto. Inoltre, abbassa l’accuratezza del modello per immagini non avverse, ed è computazionalmente costoso. Recentemente, il fatto che gli esseri umani siano così raramente ingannati da questi stessi attacchi ha portato alcuni scienziati a cercare soluzioni ispirate alla nostra visione biologica.
Aggiungendo una piccola quantità di rumore a un’immagine pulita per creare un attacco, detto esempio avverso, si possono indurre gli algoritmi di IA a formulare una previsione sbagliata, portandoli a scambiare un cannone per un criceto, o un gatto per una sacco a pelo.
“L’evoluzione ha ottimizzato moltissimi organismi per milioni di anni e ha trovato alcune soluzioni piuttosto interessanti e creative”, dice Benjamin Evans, neuroscienziato computazionale all’Università di Bristol. “Ci conviene dare una sbirciata a queste soluzioni e vedere se possiamo reingegnerizzarle.”
Concentrarsi sulla fovea
La prima differenza lampante tra la percezione visiva negli esseri umani e nelle macchine riguarda il fatto che la maggior parte degli umani elabora il mondo attraverso i nostri occhi, mentre le reti neurali profonde non lo fanno. Noi vediamo le cose più chiaramente al centro del nostro campo visivo a causa della posizione della nostra fovea, una piccola infossatura centrata dietro la pupilla nella parte posteriore dei bulbi oculari. Lì, milioni di fotorecettori che percepiscono la luce sono stipati più densamente che altrove.
“Pensiamo di vedere tutto quello che ci circonda, ma questa è in gran parte un’illusione”, spiega Tomaso Poggio, neuroscienziato computazionale al Massachusetts Institute of Technology (MIT) e direttore del Center for Brains, Minds and Machines.
Le macchine “vedono” analizzando una griglia di numeri che rappresentano il colore e la luminosità di ogni pixel di un’immagine. Ciò significa che hanno la stessa acutezza visiva in tutto il loro campo visivo (o meglio, la loro griglia di numeri). Poggio e i suoi collaboratori si sono chiesti se elaborare le immagini nel modo in cui lo fanno i nostri occhi – con un fuoco chiaro e un confine sfocato – potrebbe migliorare la resistenza agli esempi avversi diminuendo l’impatto del rumore alla periferia. Hanno così addestrato reti neurali profonde con immagini modificate affinché visualizzassero in alta risoluzione una sola zona, imitando la capacità di focalizzazione dei nostri occhi, con una risoluzione via via decrescente verso l’esterno. Poiché i nostri occhi si muovono per fissare più parti di un’immagine, hanno anche incluso molte versioni della stessa immagine con diverse aree ad alta risoluzione.
I loro risultati, pubblicati l’anno scorso, hanno suggerito che i modelli addestrati con le loro immagini “foveali” hanno portato a prestazioni migliori contro gli esempi avversi senza un calo di precisione. Ma i loro modelli non erano ancora così efficaci contro gli attacchi come l’addestramento avverso, la soluzione non biologica di punta. Due ricercatori post-dottorato del laboratorio di Poggio, Arturo Deza e Andrzej Banburski, stanno continuando questa linea di ricerca incorporando computazioni “foveali” più complesse, con una maggiore enfasi sulle computazioni che avvengono nella nostra visione periferica.
Rispecchiare i neuroni visivi
Naturalmente, la luce che colpisce le cellule dei nostri occhi è solo il primo passo. Una volta che i segnali elettrici generati dai fotorecettori escono dalla parte posteriore dei nostri occhi, viaggiano lungo le fibre nervose fino a raggiungere la sede dell’elaborazione visiva nella parte posteriore del cervello. Le prime scoperte sul modo in cui i singoli neuroni cerebrali sono organizzati gerarchicamente per rappresentare le caratteristiche visive, come l’orientamento di una linea, hanno ispirato l’informatico Kunihiko Fukushima a sviluppare nel 1980 la prima rete neurale convoluzionale (CNN). Si è poi scoperto che questo tipo di modello di apprendimento automatico, ora ampiamente usato per l’elaborazione delle immagini, imita alcune delle attività del cervello nella corteccia visiva.
Le CNN funzionano ricorrendo a filtri che scansionano le immagini per estrarre caratteristiche specifiche, come i bordi di un oggetto. Ma l’elaborazione che avviene nella nostra corteccia visiva è comunque molto varia e più complessa, e alcuni pensano che rispecchiarla più da vicino potrebbe aiutare le macchine a vedere in un modo più simile al nostro, anche di fronte a esempi avversi.
I laboratori di James DiCarlo al MIT e Jeffrey Bowers all’Università di Bristol hanno fatto proprio questo. (DiCarlo riceve finanziamenti dalla Fondazione Simons, che finanzia anche questa pubblicazione editoriale indipendente.) Entrambi i laboratori hanno aggiunto un filtro speciale che approssima il modo in cui i singoli neuroni estraggono le informazioni visive in una regione conosciuta come corteccia visiva primaria, e il laboratorio di DiCarlo è andato oltre aggiungendo caratteristiche come un generatore di rumore destinato a replicare i rumorosi neuroni del cervello, che scaricano in momenti casuali. Queste aggiunte hanno reso la visione artificiale più simile a quella umana, proteggendola da un eccessivo affidamento sulla struttura (un problema comune dell’IA) e dalle difficoltà con le distorsioni dell’immagine come la sfocatura.
Quando nel laboratorio di DiCarlo è stata testata questa CNN potenziata contro esempi avversi, i risultati hanno suggerito che le modifiche hanno permesso di quadruplicarne l’accuratezza, rispetto ai modelli CNN standard, di fronte alle immagini avverse, al solo prezzo di un minuscolo calo di accuratezza per le immagini “pulite”. La nuova rete ha anche superato in efficienza il metodo di addestramento avverso, ma solo per i tipi di immagini avverse che non erano state usate durante l’addestramento. Hanno poi scoperto che tutti i loro perfezionamenti ispirati alla biologia hanno concorso alla difesa dagli attacchi, e che il più importante di essi è il rumore casuale che il loro modello ha aggiunto a ogni neurone artificiale.
In un nuovo articolo pubblicato in novembre, il laboratorio di DiCarlo ha collaborato con altri gruppo per studiare più a fondo l’impatto del rumore neurale. Questa volta hanno aggiunto un rumore casuale a una nuova rete neurale artificiale ispirata al nostro sistema uditivo. I ricercatori riferiscono che anche questo modello ha respinto con successo gli esempi avversi per i suoni del discorso, e di nuovo hanno scoperto che il rumore casuale ha avuto un ruolo importante. “Non abbiamo ancora capito perché il rumore interagisca con le altre caratteristiche”, osserva Joel Dapello, uno studente di dottorato nel laboratorio di DiCarlo e coautore principale degli articoli. “È una domanda piuttosto aperta.”
Macchine che dormono
Quello che il nostro cervello fa quando i nostri occhi sono chiusi e la nostra corteccia visiva non sta elaborando il mondo esterno può essere altrettanto importante per la nostra armatura biologica contro gli attacchi. Maksim Bazhenov, neuroscienziato computazionale all’Università della California a San Diego, ha trascorso più di due decenni a studiare ciò che accade nel nostro cervello mentre dormiamo. Recentemente, il suo laboratorio ha iniziato a indagare se mettere gli algoritmi a dormire potrebbe risolvere una serie di problemi di IA, compresi gli esempi avversi.
La loro idea è semplice. Il sonno ha un ruolo critico nel consolidamento della memoria, che è il modo in cui il nostro cervello trasforma le esperienze recenti in ricordi a lungo termine. I ricercatori come Bazhenov pensano che il sonno potrebbe contribuire anche a costruire e memorizzare la nostra conoscenza generale sulle cose che incontriamo ogni giorno. Se così fosse, allora le reti neurali artificiali che fanno qualcosa di simile potrebbero anche migliorare la memorizzazione della conoscenza generale di loro competenza, e diventare meno vulnerabili alle piccole aggiunte di rumore degli esempi avversi.
“Il sonno è una fase in cui il cervello ha effettivamente il tempo di spegnere gli input esterni e occuparsi delle sue rappresentazioni interne”, dice Bazhenov. “E proprio come un sistema biologico, [le macchine] possono avere bisogno di un certo periodo di sonno.”
In un articolo a prima firma Timothy Tadros, specializzando nel laboratorio di Bazhenov, presentato a una conferenza del 2020, ha descritto una rete neurale artificiale in una fase di sonno dopo averla addestrata a riconoscere le immagini. Durante il sonno, la rete non era più costretta ad aggiornare le connessioni tra i suoi neuroni secondo un metodo di apprendimento comune che si basa sulla minimizzazione dell’errore, noto come backpropagation, o retropropagazione. Invece, la rete era libera di aggiornare le sue connessioni in modo non supervisionato, imitando il modo in cui i nostri neuroni aggiornano le loro connessioni secondo una teoria influente nota come plasticità hebbiana. Dopo il sonno, è stato necessario aggiungere molto più rumore a un esempio avverso prima di poter ingannare la rete neurale, rispetto alle reti neurali che non avevano dormito. Ma c’è stato un leggero calo di precisione per le immagini non avverse, e per alcuni tipi di attacchi l’addestramento avverso era ancora la difesa più forte.
Un futuro incerto
Nonostante i recenti progressi nello sviluppo di approcci ispirati alla biologia per proteggere le reti dagli esempi avversi, c’è da percorrere ancora una lunga strada prima che questi vengano accettati come soluzioni provate. E potrebbe essere solo una questione di tempo prima che un altro ricercatore sia in grado di sconfiggere queste difese, un evento estremamente comune nel campo dell’apprendimento automatico avverso.
Non tutti sono convinti che la biologia sia il posto giusto dove guardare.
“Non credo che abbiamo un livello di comprensione o di addestramento del nostro sistema sufficiente a sapere come creare un sistema biologicamente ispirato che non sia influenzato negativamente da questa categoria di attacchi”, dice Zico Kolter, scienziato informatico alla Carnegie Mellon University. Kolter ha avuto un ruolo importante nella progettazione di metodi di difesa non biologicamente ispirati contro gli esempi avversi, e pensa che sarà un problema incredibilmente difficile da risolvere.
Kolter prevede che la strada di maggior successo coinvolgerà l’addestramento di reti neurali su quantità molto più grandi di dati, secondo una strategia che tenta di far vedere alle macchine tante cose del mondo quante ne vediamo noi, anche se non le vedono allo stesso modo.
Fonte: Le Scienze
