Vor dem Fenster steht 2022. Sie fahren wie gewohnt mit einem selbstfahrenden Auto durch die Stadt. Das Auto nähert sich einem Stoppschild, an dem es schon oft vorbeigefahren ist, aber diesmal hält es nicht davor an. Für Sie ist dieses Stoppschild wie die anderen. Aber für ein Auto ist es ganz anders. Ein paar Minuten zuvor hatte der Angreifer ohne Vorwarnung einen kleinen Teller auf das Schild geklebt, der für das menschliche Auge unsichtbar war, dessen Technologie jedoch nicht übersehen werden konnte. Das heißt, ein winziger Aufkleber auf dem Schild verwandelte das Stoppschild in etwas völlig anderes als das Stoppschild.
All dies mag unglaublich erscheinen. Ein wachsendes Forschungsgebiet beweist jedoch, dass künstliche Intelligenz zu so etwas verleitet werden kann, wenn sie winzige Details sieht, die für den Menschen völlig unsichtbar sind. Da Algorithmen für maschinelles Lernen zunehmend auf unseren Straßen, in unseren Finanzen und in unserem Gesundheitssystem auftauchen, hoffen Informatiker, mehr darüber zu erfahren, wie sie vor solchen Angriffen geschützt werden können - bevor jemand wirklich versucht, sie zu täuschen.
"Dies ist ein wachsendes Problem in der Community für maschinelles Lernen und KI, zumal diese Algorithmen immer häufiger verwendet werden", sagt Daniel Lode, Assistenzprofessor am Institut für Computer- und Informationswissenschaft der University of Oregon. „Wenn Spam durch mehrere E-Mails gelangt oder von diesen blockiert wird, ist dies nicht das Ende der Welt. Wenn Sie sich jedoch auf ein Bildverarbeitungssystem in einem selbstfahrenden Auto verlassen, das dem Auto sagt, wie es fahren soll, ohne gegen irgendetwas zu stoßen, steht viel mehr auf dem Spiel. “
Unabhängig davon, ob die Maschine ausfällt oder gehackt wird, leiden die Algorithmen für maschinelles Lernen, die die Welt "sehen". Und so sieht der Panda für das Auto wie ein Gibbon aus, und der Schulbus sieht aus wie ein Strauß.
In einem Experiment zeigten Wissenschaftler aus Frankreich und der Schweiz, wie solche Störungen dazu führen können, dass ein Computer ein Eichhörnchen mit einem Graufuchs und eine Kaffeekanne mit einem Papagei verwechselt.
Wie ist das möglich? Denken Sie darüber nach, wie Ihr Kind lernt, Zahlen zu erkennen. Wenn das Kind die Symbole einzeln betrachtet, bemerkt es einige gemeinsame Merkmale: Einige sind größer und schlanker, Sechser und Neuner enthalten eine große Schleife und Acht enthalten zwei und so weiter. Sobald sie genügend Beispiele sehen, können sie neue Zahlen schnell als Vierer, Achtel oder Drillinge erkennen - auch wenn sie dank der Schriftart oder Handschrift nicht genau wie andere Vierer, Achtel oder Drillinge aussehen, die sie jemals haben. zuvor gesehen.
Algorithmen für maschinelles Lernen lernen, die Welt durch einen ähnlichen Prozess zu lesen. Wissenschaftler füttern den Computer mit Hunderten oder Tausenden von (normalerweise gekennzeichneten) Beispielen dafür, was sie am Computer finden möchten. Wenn die Maschine die Daten durchsucht - dies ist eine Zahl, dies ist nicht, dies ist eine Zahl, dies ist nicht -, beginnt sie, die Merkmale zu bemerken, die zu einer Antwort führen. Bald könnte sie sich das Bild ansehen und sagen: "Das sind fünf!" mit hoher Präzision.
Werbevideo:
Auf diese Weise können sowohl menschliche Kinder als auch Computer lernen, eine Vielzahl von Objekten zu erkennen, von Zahlen bis zu Katzen, von Booten bis zu einzelnen menschlichen Gesichtern.
Im Gegensatz zu einem menschlichen Kind achtet ein Computer jedoch nicht auf Details auf hoher Ebene - wie die pelzigen Ohren von Katzen oder die charakteristische eckige Form der vier. Er sieht nicht das ganze Bild.
Stattdessen werden einzelne Pixel in einem Bild betrachtet - und der schnellste Weg, Objekte zu trennen. Wenn die überwiegende Mehrheit der Einheiten an einem bestimmten Punkt ein schwarzes Pixel und an anderen Punkten einige weiße Pixel aufweist, lernt die Maschine sehr schnell, diese anhand einiger Pixel zu bestimmen.
Nun zurück zum Stoppschild. Indem Sie die Pixel im Bild unmerklich korrigieren - Experten nennen diese Störung "Störungen" -, können Sie den Computer dazu verleiten, zu glauben, dass es tatsächlich kein Stoppschild gibt.
Ähnliche Studien des Evolutionary Artificial Intelligence Lab der University of Wyoming und der Cornell University haben einige optische Täuschungen für die künstliche Intelligenz hervorgebracht. Diese psychedelischen Bilder von abstrakten Mustern und Farben sind für Menschen anders als alles andere, werden jedoch vom Computer schnell als Schlangen oder Gewehre erkannt. Dies legt nahe, wie die KI etwas betrachten und das Objekt nicht sehen kann oder stattdessen etwas anderes sehen kann.
Diese Schwäche tritt bei allen Arten von Algorithmen für maschinelles Lernen auf. "Man würde erwarten, dass jeder Algorithmus ein Loch in der Rüstung hat", sagt Jewgeni Vorobeychik, Assistenzprofessor für Informatik und Informatik an der Vanderbilt University. "Wir leben in einer sehr komplexen mehrdimensionalen Welt, und Algorithmen beeinflussen naturgemäß nur einen kleinen Teil davon."
Sparrow ist "äußerst zuversichtlich", dass jemand herausfinden wird, wie diese Schwachstellen ausgenutzt werden können, wenn sie vorhanden sind. Wahrscheinlich hat das schon jemand gemacht.
Betrachten Sie Spam-Filter, automatisierte Programme, die unangenehme E-Mails herausfiltern. Spammer können versuchen, diese Barriere zu umgehen, indem sie die Schreibweise der Wörter ändern (anstelle von Viagra - vi @ gra) oder eine Liste von "guten Wörtern" hinzufügen, die normalerweise in normalen Buchstaben vorkommen: wie "aha", "ich", "froh". In der Zwischenzeit können Spammer versuchen, Wörter zu entfernen, die häufig in Spam vorkommen, z. B. "mobil" oder "gewinnen".
Wo können Betrüger eines Tages hinkommen? Ein selbstfahrendes Auto, das durch einen Stoppschild-Aufkleber getäuscht wird, ist ein klassisches Szenario, das von Experten auf diesem Gebiet entwickelt wurde. Zusätzliche Daten können dazu beitragen, dass Pornografie durch sichere Filter gelangt. Andere versuchen möglicherweise, die Anzahl der Schecks zu erhöhen. Hacker können den Code bösartiger Software optimieren, um der Strafverfolgung zu entgehen.
Angreifer können herausfinden, wie fehlende Daten erstellt werden, wenn sie eine Kopie eines Algorithmus für maschinelles Lernen erhalten, den sie austricksen möchten. Aber es muss nicht sein, um durch den Algorithmus zu kommen. Man kann es einfach mit brutaler Gewalt brechen, indem man leicht unterschiedliche Versionen von E-Mails oder Bildern darauf wirft, bis sie vergehen. Im Laufe der Zeit könnte es sogar für ein völlig neues Modell verwendet werden, das weiß, wonach die Guten suchen und welche Daten zu produzieren sind, um sie zu täuschen.
„Die Menschen haben seit ihrer Einführung maschinelle Lernsysteme manipuliert“, sagt Patrick McDaniel, Professor für Informatik und Ingenieurwesen an der University of Pennsylvania. "Wenn Leute diese Methoden anwenden, wissen wir vielleicht nicht einmal davon."
Diese Methoden können nicht nur von Betrügern angewendet werden - Menschen können sich vor den Röntgenaugen moderner Technologien verstecken.
"Wenn Sie unter einem repressiven Regime eine Art politischer Dissident sind und Veranstaltungen ohne Wissen der Geheimdienste durchführen möchten, müssen Sie möglicherweise automatische Beobachtungsmethoden vermeiden, die auf maschinellem Lernen basieren", sagt Lode.
In einem im Oktober veröffentlichten Projekt haben Forscher der Carnegie Mellon University eine Brille entwickelt, die das Gesichtserkennungssystem auf subtile Weise irreführen kann und dazu führt, dass ein Computer die Schauspielerin Reese Witherspoon mit Russell Crowe verwechselt. Es klingt lächerlich, aber eine solche Technologie könnte für jeden nützlich sein, der unbedingt die Zensur durch die Machthaber vermeiden möchte.
Was tun mit all dem? „Die einzige Möglichkeit, dies vollständig zu vermeiden, besteht darin, ein perfektes Modell zu erstellen, das immer korrekt ist“, sagt Lode. Selbst wenn wir künstliche Intelligenz schaffen könnten, die den Menschen in jeder Hinsicht übertrifft, kann die Welt ein Schwein an einem unerwarteten Ort ausrutschen lassen.
Algorithmen für maschinelles Lernen werden normalerweise nach ihrer Genauigkeit beurteilt. Ein Programm, das Stühle in 99% der Fälle erkennt, ist eindeutig besser als ein Programm, das 6 von 10 Stühlen erkennt. Einige Experten schlagen jedoch einen anderen Weg vor, um die Fähigkeit des Algorithmus zur Bewältigung eines Angriffs zu bewerten: Je schwieriger, desto besser.
Eine andere Lösung könnte darin bestehen, dass Experten das Tempo für Programme festlegen können. Erstellen Sie Ihre eigenen Beispiele für Angriffe im Labor, basierend auf den Fähigkeiten der Kriminellen Ihrer Meinung nach, und zeigen Sie sie dann dem Algorithmus für maschinelles Lernen. Dies kann dazu beitragen, dass es im Laufe der Zeit widerstandsfähiger wird - vorausgesetzt natürlich, dass die Testangriffe von dem Typ sind, der in der realen Welt getestet wird.
„Maschinelle Lernsysteme sind ein Werkzeug zum Denken. Wir müssen intelligent und rational sein, was wir ihnen geben und was sie uns sagen “, sagte McDaniel. "Wir sollten sie nicht als perfekte Orakel der Wahrheit behandeln."
ILYA KHEL
