Uden for vinduet er 2022. Du kører en selvkørende bil, som sædvanlig, gennem byen. Bilen nærmer sig et stopskilt, som den er gået forbi mange gange, men denne gang stopper den ikke foran den. For dig er dette stopskilt som de andre. Men for en bil er det helt anderledes. Få minutter tidligere, uden at advare nogen, havde angriberen indsat en lille plade på skiltet, usynligt for det menneskelige øje, men som teknologien ikke kan undlade at bemærke. Det vil sige, et lille klistermærke på skiltet gjorde stopskiltet til noget helt andet end stopskiltet.
Alt dette kan virke utroligt. Men et voksende forskningsområde beviser, at kunstig intelligens kan narres til noget som dette, hvis det ser en lille detalje, der er helt usynlig for mennesker. Efterhånden som maskinlæringsalgoritmer i stigende grad vises på vores veje, vores økonomi, vores sundhedssystem, håber computerforskere at lære mere om, hvordan man beskytter dem mod sådanne angreb - inden nogen virkelig prøver at narre dem.
"Dette er en voksende bekymring inden for maskinlæring og AI-samfundet, især da disse algoritmer bruges mere og mere," siger Daniel Lode, adjunkt i Institut for Computer- og Informationsvidenskab ved University of Oregon.”Hvis spam passerer gennem eller blokeres af flere e-mails, er dette ikke verdens ende. Men hvis du er afhængig af et synssystem i en selvkørende bil, der fortæller bilen, hvordan man kører uden at gå ned i noget, er indsatsen meget højere.”
Uanset om maskinen går i stykker eller bliver hacket, vil maskinlæringsalgoritmerne, der "ser" verden lide. Og så til bilen ser pandaen ud som et gibbon, og skolebussen ligner en struds.
I et eksperiment viste forskere fra Frankrig og Schweiz, hvordan sådanne forstyrrelser kunne få en computer til at begå en egern til en grå ræv og en kaffekande til en papegøje.
Hvordan er det muligt? Tænk på, hvordan dit barn lærer at genkende tal. Når man ser på symbolerne en efter en, begynder barnet at bemærke nogle almindelige egenskaber: nogle er højere og slankere, seksere og ni indeholder en stor løkke, og ottere indeholder to osv. Når de ser tilstrækkelige eksempler, kan de hurtigt genkende nye numre som firer, åtter eller tripletter - selvom de takket være skrifttypen eller håndskriften ikke ligner nøjagtigt alle andre firere, åtter eller tripletter, de nogensinde har haft. set før.
Maskinlæringsalgoritmer lærer at læse verden gennem en noget lignende proces. Forskere fodrer computeren hundreder eller tusinder af (normalt mærket) eksempler på, hvad de gerne vil finde på computeren. Når maskinen går gennem dataene - dette er et tal, det er det ikke, dette er et tal, det er det ikke - det begynder at bemærke de funktioner, der fører til et svar. Snart ser hun måske på billedet og siger: "Det er fem!" med høj præcision.
Salgsfremmende video:
Således kan både menneskelige børn og computere lære at genkende en lang række objekter - fra antal til katte, fra både til individuelle menneskelige ansigter.
Men i modsætning til et menneskebarn, er en computer ikke opmærksom på detaljer på højt niveau - ligesom de katte lodne ører eller den fire markante vinkelform. Han ser ikke hele billedet.
I stedet ser det på individuelle pixels i et billede - og den hurtigste måde at adskille objekter på. Hvis det overvældende flertal af enheder har en sort pixel på et bestemt punkt og et par hvide pixels på andre punkter, lærer maskinen meget hurtigt at bestemme dem med et par pixels.
Nu tilbage til stopskiltet. Ved umærkelig at korrigere pixelene i billedet - eksperter kalder denne interferens "forstyrrelser" - kan du narre computeren til at tro, at der faktisk ikke er noget stopskilt.
Tilsvarende undersøgelser fra det evolutionære kunstige intelligenslaboratorium ved University of Wyoming og Cornell University har produceret en hel del optiske illusioner om kunstig intelligens. Disse psykedeliske billeder af abstrakte mønstre og farver ligner ikke noget for mennesker, men genkendes hurtigt af en computer i form af slanger eller rifler. Dette antyder, hvordan AI kan se på noget og ikke se objektet eller se noget andet i stedet.
Denne svaghed er almindelig i alle typer maskinlæringsalgoritmer.”Man kunne forvente, at enhver algoritme har et hul i rustningen,” siger Yevgeny Vorobeichik, adjunkt i datalogi og computing ved Vanderbilt University.”Vi lever i en meget kompleks multidimensional verden, og algoritmer påvirker i deres natur kun en lille del af den.”
Sparrow er "ekstremt overbevist" om, at hvis disse sårbarheder findes, vil nogen finde ud af, hvordan man udnytter dem. Sandsynligvis har nogen allerede gjort dette.
Overvej spamfiltre, automatiserede programmer, der filtrerer alle besværlige e-mails. Spammere kan prøve at komme omkring denne barriere ved at ændre stavemåden for ordene (i stedet for Viagra - vi @ gra) eller tilføje en liste over "gode ord", der normalt findes i normale bogstaver: som "aha", "mig", "glad". I mellemtiden kan spammere forsøge at fjerne ord, der ofte vises i spam, såsom "mobil" eller "win".
Hvor kan svindlere komme til en dag? En selvkørende bil bedrager af et stopskilt-klistermærke er et klassisk scenario, der blev gennemtænkt af eksperter på området. Yderligere data kan hjælpe pornografi med at glide gennem sikre filtre. Andre kan forsøge at øge antallet af kontroller. Hackere kan justere koden til ondsindet software for at undgå retshåndhævelse.
Angribere kan finde ud af, hvordan man opretter manglende data, hvis de får en kopi af en maskinlæringsalgoritme, som de vil narre. Men det behøver ikke at være at komme igennem algoritmen. Man kan simpelthen bryde det med brute kraft ved at kaste lidt forskellige versioner af e-mail eller billeder på det, indtil de passerer. Over tid kan det endda bruges til en helt ny model, der ved, hvad de gode fyre leder efter, og hvilke data der skal produceres for at narre dem.
”Folk har manipuleret maskinindlæringssystemer siden de først blev introduceret,” siger Patrick McDaniel, professor i datalogi og teknik ved University of Pennsylvania. "Hvis folk bruger disse metoder, ved vi måske ikke engang om det."
Disse metoder kan ikke kun bruges af svindlere - folk kan skjule sig fra røntgenøjne for moderne teknologier.
”Hvis du er en slags politisk dissident under et undertrykkende regime, og du ønsker at gennemføre begivenheder uden kendskab til efterretningstjenesterne, skal du muligvis undgå automatiske observationsmetoder baseret på maskinlæring, siger Lode.
I et projekt, der blev offentliggjort i oktober, skabte forskere ved Carnegie Mellon University et par briller, der subtilt kan vildlede ansigtsgenkendelsessystemet, hvilket får en computer til at fejre skuespillerinde Reese Witherspoon for Russell Crowe. Det lyder latterligt, men en sådan teknologi kan komme godt med for alle, der er desperate efter at undgå censur fra de magtfulde.
Hvad skal man gøre med alt dette?”Den eneste måde at helt undgå er at skabe en perfekt model, der altid vil være korrekt,” siger Lode. Selv hvis vi kunne skabe kunstig intelligens, der overgår mennesker på alle måder, kan verden stadig glide en gris på et uventet sted.
Maskinlæringsalgoritmer bedømmes normalt ud fra deres nøjagtighed. Et program, der genkender stole 99% af tiden, vil være klart bedre end et, der genkender 6 stole ud af 10. Men nogle eksperter foreslår en anden måde at vurdere algoritmens evne til at klare et angreb på: jo sværere, jo bedre.
En anden løsning kan være, at eksperter kan sætte tempoet for programmer. Opret dine egne eksempler på angreb i laboratoriet baseret på de kriminelle evner efter din mening og vis dem derefter til maskinlæringsalgoritmen. Dette kan hjælpe det med at blive mere modstandsdygtigt over tid - selvfølgelig, forudsat at testangrebene er af den type, der vil blive testet i den virkelige verden.
”Maskinlæringssystemer er et værktøj til at tænke. Vi skal være intelligente og rationelle om, hvad vi giver dem, og hvad de fortæller os,”sagde McDaniel. "Vi bør ikke behandle dem som perfekte sandhedsregler."
ILYA KHEL
