.
A maioria dos sistemas artificialmente inteligentes baseia-se em redes neurais, algoritmos inspirados em neurônios biológicos encontrados no cérebro. Essas redes podem consistir em múltiplas camadas, com entradas entrando de um lado e saídas do outro. As saídas podem ser usadas para tomar decisões automáticas, por exemplo, em carros sem motorista. Os ataques para enganar uma rede neural podem envolver a exploração de vulnerabilidades nas camadas de entrada, mas normalmente apenas a camada de entrada inicial é considerada ao projetar uma defesa. Pela primeira vez, os pesquisadores aumentaram as camadas internas de uma rede neural com um processo que envolve ruído aleatório para melhorar sua resiliência.
A inteligência artificial (IA) tornou-se algo relativamente comum; é provável que você tenha um smartphone com um assistente de IA ou use um mecanismo de pesquisa alimentado por IA. Embora seja um termo amplo que pode incluir muitas maneiras diferentes de essencialmente processar informações e, às vezes, tomar decisões, os sistemas de IA são frequentemente construídos usando redes neurais artificiais (RNA) análogas às do cérebro. E, assim como o cérebro, as RNAs às vezes podem ficar confusas, seja por acidente ou pelas ações deliberadas de terceiros. Pense em algo como uma ilusão de ótica – pode fazer você sentir que está olhando para uma coisa quando na verdade está olhando para outra.
A diferença entre coisas que confundem uma RNA e coisas que podem nos confundir, entretanto, é que alguma entrada visual pode parecer perfeitamente normal, ou pelo menos pode ser compreensível para nós, mas pode, no entanto, ser interpretada como algo completamente diferente por uma RNA. Um exemplo trivial poderia ser um sistema de classificação de imagens confundindo um gato com um cachorro, mas um exemplo mais sério poderia ser um carro sem motorista confundindo um sinal de parada com um sinal de prioridade. E não é apenas o já controverso exemplo dos carros sem condutor; existem sistemas de diagnóstico médico e muitas outras aplicações sensíveis que recebem informações e informam, ou mesmo tomam, decisões que podem afetar as pessoas.
Como as entradas não são necessariamente visuais, nem sempre é fácil analisar rapidamente por que um sistema pode ter cometido um erro. Os invasores que tentam interromper um sistema baseado em RNAs podem tirar vantagem disso, alterando sutilmente um padrão de entrada antecipado, de modo que ele será mal interpretado e o sistema se comportará de maneira errada, talvez até problemática. Existem algumas técnicas de defesa para ataques como esses, mas elas têm limitações. O recém-formado Jumpei Ukita e o professor Kenichi Ohki, do Departamento de Fisiologia da Escola de Pós-Graduação em Medicina da Universidade de Tóquio, desenvolveram e testaram uma nova maneira de melhorar a defesa da RNA.
“As redes neurais normalmente compreendem camadas de neurônios virtuais. As primeiras camadas serão frequentemente responsáveis por analisar as entradas, identificando os elementos que correspondem a uma determinada entrada”, disse Ohki. “Um invasor pode fornecer uma imagem com artefatos que induzem a rede a classificá-la incorretamente. Uma defesa típica para tal ataque pode ser introduzir deliberadamente algum ruído nesta primeira camada. Parece contra-intuitivo que possa ajudar, mas, ao fazer isso, é permite maiores adaptações a uma cena visual ou outro conjunto de entradas. No entanto, este método nem sempre é tão eficaz e pensamos que poderíamos melhorar a questão olhando além da camada de entrada para mais dentro da rede.”
Ukita e Ohki não são apenas cientistas da computação. Eles também estudaram o cérebro humano, e isso os inspirou a usar um fenômeno que conheciam em uma RNA. O objetivo era adicionar ruído não apenas à camada de entrada, mas também às camadas mais profundas. Isso normalmente é evitado porque teme-se que afete a eficácia da rede em condições normais. Mas a dupla descobriu que não era esse o caso e, em vez disso, o ruído promoveu maior adaptabilidade em sua RNA de teste, o que reduziu sua suscetibilidade a ataques adversários simulados.
“Nosso primeiro passo foi conceber um método hipotético de ataque que atingisse mais profundamente do que a camada de entrada. Tal ataque precisaria suportar a resiliência de uma rede com uma defesa de ruído padrão em sua camada de entrada. Chamamos esses exemplos de adversários de espaço de recursos “, disse Ukita. “Esses ataques funcionam fornecendo uma entrada intencionalmente distante, e não próxima, da entrada que uma RNA pode classificar corretamente. Mas o truque é apresentar artefatos sutilmente enganosos às camadas mais profundas. Assim que demonstrarmos o perigo de tal ataque , injetamos ruído aleatório nas camadas ocultas mais profundas da rede para aumentar sua adaptabilidade e, portanto, capacidade defensiva. Temos o prazer de informar que funciona.”
Embora a nova ideia se mostre robusta, a equipe deseja desenvolvê-la ainda mais para torná-la ainda mais eficaz contra ataques previstos, bem como outros tipos de ataques contra os quais ainda não foram testados. Atualmente, a defesa só funciona neste tipo específico de ataque.
“Futuros invasores podem tentar considerar ataques que possam escapar do ruído do espaço de recursos que consideramos nesta pesquisa”, disse Ukita. “Na verdade, ataque e defesa são duas faces da mesma moeda; é uma corrida armamentista da qual nenhum dos lados desistirá, por isso precisamos iterar, melhorar e inovar continuamente novas ideias para proteger os sistemas que usamos todos os dias.”
.
