La guerra dell’IA sta iniziando a dominare la strategia militare negli Stati Uniti e in Cina, ma la tecnologia è pronta ad affrontare la nuova sfida?
di Will Knight
Lo scorso marzo, i ricercatori cinesi hanno annunciato un attacco ingegnoso e potenzialmente devastante contro uno dei beni tecnologici più preziosi d’America: un’auto elettrica Tesla.
Il team del laboratorio di sicurezza del colosso tecnologico cinese Tencent ha dimostrato diversi modi per ingannare gli algoritmi di intelligenza artificiale dell’auto di Tesla. Modificando leggermente i dati forniti ai sensori dell’auto, i ricercatori sono stati in grado di confondere e sconcertare l’intelligenza artificiale che gestisce il veicolo.
In un caso, uno schermo TV conteneva uno schema nascosto che induceva i tergicristalli ad attivarsi. In un altro, i segni di corsia sulla strada sono stati leggermente modificati per confondere il sistema di guida autonomo in modo che guidasse su di loro e nella corsia opposta al senso di marcia.
Gli algoritmi di Tesla hanno generalmente buone prestazioni in caso di pioggia o nel rispettare le linee stradali, pur funzionando in un modo sostanzialmente diverso dalla percezione umana. Ciò rende tali algoritmi di “apprendimento profondo”, che stanno rapidamente investendo diversi settori per applicazioni come il riconoscimento facciale e la diagnosi del cancro, sorprendentemente facili da ingannare se trovi i loro punti deboli.
Far andare una Tesla fuori strada potrebbe non sembrare una minaccia strategica per gli Stati Uniti. Ma cosa succederebbe se tecniche simili venissero usate per ingannare i droni di attacco, o i software che analizzano le immagini satellitari, nel vedere cose che non ci sono o non vedere cose che sono?
L’IA garantisce un vantaggio militare decisivo
All’inizio di quest’anno, gli Stati Uniti hanno annunciato una strategia in grande stile per sfruttare l’intelligenza artificiale nel settore militare: analisi dei dati, processo decisionale, autonomia dei veicoli, logistica e armamenti. Il budget proposto dal Dipartimento della Difesa per 718 miliardi di dollari per il 2020 stanzia 927 milioni di dollari per IA e machine learning.
I progetti esistenti includono aspetti piuttosto banali (testare se l’IA può prevedere quando i carri armati e i camion hanno bisogno di manutenzione), e ricerche all’avanguardia della tecnologia militare (sciami di droni).
La fiducia nell’intelligenza artificiale del Pentagono è in parte guidata dalla paura del modo in cui i rivali potrebbero usare la tecnologia. L’anno scorso Jim Mattis, allora Segretario alla Difesa, ha inviato un promemoria al presidente Donald Trump in cui avvertiva che gli Stati Uniti sono già in ritardo quando si parla di IA. La sua preoccupazione è comprensibile.
Nel luglio 2017, la Cina ha articolato la sua strategia riguardo all’intelligenza artificiale, dichiarando che “i principali paesi sviluppati del mondo ritengono l’IA un settore decisivo per migliorare la competitività e proteggere la sicurezza nazionale”. Pochi mesi dopo, Vladimir Putin ha dichiarato minacciosamente: “Chiunque diventi il leader nella sfera [dell’IA] diventerà il sovrano del mondo”.
L’ambizione di costruire le armi più intelligenti e distruttive è comprensibile, ma come dimostra l’hackeraggio di Tesla, un nemico che sa come funziona un algoritmo di intelligenza artificiale potrebbe renderlo inutile o addirittura utilizzarlo contro chi l’ha ideato. Il segreto per vincere le guerre di intelligenza artificiale potrebbe non essere nel produrre le armi più impressionanti, ma nel padroneggiare il software.
Bot da battaglia
In una giornata luminosa e soleggiata dell’estate scorsa a Washington, DC, Michael Kanaan era seduto nella caffetteria del Pentagono, mangiando un panino ed esaminando con stupore un nuovo potente set di algoritmi di apprendimento automatico.
Qualche settimana prima, Kanaan aveva visto un videogioco in cui cinque algoritmi di intelligenza artificiale lavoravano insieme per sconfiggere cinque umani in un combattimento che prevedeva il controllo di forze militari, postazioni e risorse in un campo di battaglia inospitale. È stata una delle dimostrazioni più impressionanti di strategie di intelligenza artificiale che abbia mai visto, un qualcosa di totalmente inaspettato simile ai progressi dell’IA negli scacchi, nell’Atari e in altri giochi.
Il gioco di guerra si è svolto all’interno di Dota 2, un popolare videogioco di fantascienza che è incredibilmente stimolante per i computer. Le squadre devono difendere il proprio territorio mentre attaccano le postazioni dei loro avversari in un ambiente più elaborato di qualsiasi gioco da tavolo. I giocatori possono vedere solo una piccola parte dell’intera immagine e ci si può impiegare circa mezz’ora per capire se una strategia è vincente.
I combattenti di IA non sono stati ideati da militari ma da OpenAI, un’azienda creata dai “pezzi grossi” della Silicon Valley, tra cui Elon Musk e Sam Altman, per fare ricerche di base sull’intelligenza artificiale. I guerrieri algoritmici dell’azienda, noti come OpenAI Five, hanno elaborato le proprie strategie vincenti attraverso una pratica incessante.
Si tratta del tipo di software che appassiona Kanaan, una delle persone incaricate di sfruttare l’intelligenza artificiale per modernizzare l’esercito americano. Per lui, questi algoritmi mostrano quanto i militari abbiano da guadagnare arruolando i migliori ricercatori di intelligenza artificiale del mondo. Ma se questi ultimi abbiano intenzione di farlo è una questione aperta.
Kanaan è stato il responsabile dell’aeronautica militare nel Project Maven, un’iniziativa militare volta a utilizzare l’IA per automatizzare l’identificazione di oggetti nelle immagini aeree. Google era un appaltatore di Maven e quando altri dipendenti di Google lo hanno scoperto, nel 2018, l’azienda ha deciso di abbandonare il progetto.
Successivamente ha escogitato un codice di condotta in cui si diceva che Google non avrebbe usato la sua IA per sviluppare “armi o altre tecnologie il cui scopo o implementazione principale sia quello di causare o facilitare direttamente danni alle persone”.
I lavoratori di alcune altre grandi aziende tecnologiche chiesero a loro volta che i datori di lavoro non firmassero accordi con i militari. Molti importanti ricercatori dell’IA si sono impegnati a promuovere un divieto globale di sviluppare armi in modo autonomo.
Per Kanaan, tuttavia, sarebbe un grosso problema se i militari non potessero lavorare con ricercatori come quelli che hanno sviluppato OpenAI Five. Ancora più inquietante è la prospettiva di un avversario che acceda a tale tecnologia all’avanguardia. “Il codice è disponibile per chiunque”, ha affermato e ha aggiunto: “la guerra è molto più complessa di alcuni videogiochi”.
Lo stato dell’arte dell’IA
Kanaan ha molta fiducia nell’intelligenza artificiale, in parte perché sa in prima persona quanto sia utile sul campo di battaglia. Sei anni fa, come ufficiale dell’intelligence dell’aeronautica militare in Afghanistan, era responsabile dell’implementazione di un nuovo tipo di strumento di raccolta di informazioni: un sistema di visione iperspettrale. Lo strumento può individuare oggetti che sono normalmente nascosti alla vista, come carri armati mimetizzati o emissioni di una fabbrica improvvisata per fabbricare bombe.
Kanaan afferma che il sistema ha aiutato le truppe statunitensi a rimuovere molte migliaia di chili di esplosivo dal campo di battaglia. Anche così, era spesso poco pratico per gli analisti elaborare le enormi quantità di dati raccolti dall’imager. “Abbiamo trascorso troppo tempo a guardare i dati e non abbastanza a prendere decisioni”, egli afferma. “A volte ci è voluto così tanto tempo che ti chiedevi se avresti potuto salvare più vite”.
Una soluzione potrebbe risiedere nelle ricerche sulla visione artificiale di un team guidato da Geoffrey Hinton dell’Università di Toronto, il quale ha dimostrato che un algoritmo ispirato a una rete neurale a più livelli è in grado di riconoscere immagini di oggetti con una precisione senza precedenti, se dotato di dati sufficienti e di un computer potente.
La formazione di una rete neurale implica l’inserimento di dati, come i pixel in un’immagine, e la continua modifica delle connessioni in rete, utilizzando tecniche matematiche, in modo che l’output si avvicini a un risultato particolare, come l’oggetto da identificare nell’immagine.
Nel tempo, queste reti di apprendimento profondo imparano a riconoscere i modelli di pixel che compongono le case o le persone. I progressi nell’apprendimento profondo hanno scatenato l’attuale boom dell’IA; la tecnologia è alla base dei sistemi autonomi di Tesla e degli algoritmi di OpenAI.
Kanaan ha immediatamente riconosciuto il potenziale del deep learning per l’elaborazione dei vari tipi di immagini e dati dei sensori che sono essenziali per le operazioni militari. Insieme ad altri militari dell’Aeronautica ha fatto continue pressioni sui superiori per investire nella tecnologia. I loro sforzi hanno contribuito al crescente ruolo ricoperto dall’intelligenza artificiale al Pentagono.
Ma poco dopo che il deep learning è entrato in scena, i ricercatori hanno scoperto che le stesse proprietà che lo rendono così potente sono allo stesso tempo un tallone d’Achille. Proprio come è possibile calcolare come modificare i parametri di una rete in modo che classifichi correttamente un oggetto, è possibile calcolare in che modo modifiche minime all’immagine di input possono causare una classificazione errata.
In tali adversarial examples, vengono modificati solo pochi pixel nell’immagine, lasciandola uguale per una persona, ma molto diversa per un algoritmo IA. Il problema può sorgere ovunque si possa usare l’apprendimento profondo, per esempio nella guida di veicoli autonomi, nella pianificazione di missioni o nel rilevamento di intrusioni nella rete.
Gli adversarial examples
Questi “esempi antagonistici” servono a illustrare come sia possibile ingannare l’apprendimento automatico. Si prenda il caso della tartaruga. A noi appare come una normale tartaruga, ma a un drone o un robot che esegue un particolare algoritmo di visione di apprendimento profondo, sembra essere … un fucile.
In effetti, a un certo punto il modello unico di segni sulla conchiglia della tartaruga potrebbe essere rielaborato in modo che un sistema di visione IA reso disponibile attraverso il cloud di Google lo confonderebbe praticamente per qualsiasi cosa (Google ha aggiornato l’algoritmo in modo che non venga ingannato).
La tartaruga è stata creata non da una nazione ostile, ma da quattro ragazzi del MIT. Uno di questi è Anish Athalye, un giovane snello e molto educato che lavora sulla sicurezza informatica nel laboratorio di informatica e intelligenza artificiale del MIT (CSAIL). In un video sul laptop di Athalye delle tartarughe in fase di test (alcuni dei modelli sono stati rubati in una conferenza, dice), viene ruotato di 360 gradi e capovolto. L’algoritmo rileva sempre la stessa cosa: “fucile”, “fucile”, “fucile”.
I primi esempi antagonistici erano inclini al fallimento, ma Athalye e i suoi amici credevano di poter progettare una versione abbastanza elaborata da lavorare su un oggetto stampato in 3D. Ciò ha comportato la modellazione di un rendering 3D di oggetti e lo sviluppo di un algoritmo per creare la tartaruga, un esempio antagonistico che avrebbe funzionato a diverse angolazioni e distanze. In parole povere, hanno sviluppato un algoritmo per creare qualcosa che inganna un modello di apprendimento automatico.
Le applicazioni militari sono ovvie. Usando gli adversarial examples per mimetizzarsi, i carri armati o gli aerei potrebbero nascondersi da satelliti e droni dotati di IA. I missili guidati dall’intelligenza artificiale potrebbero essere accecati da dati contraddittori e forse persino colpire i nostri interessi. Le informazioni inserite negli algoritmi di intelligence potrebbero essere manipolate per mascherare una minaccia terroristica o creare una trappola nel mondo reale.
Athalye è sorpreso dalla scarsa preoccupazione suscitata da questo possibile utilizzo dell’IA. “Ho parlato con un gruppo di persone del settore e ho chiesto loro se sono preoccupati dagli esempi antagonistici”, egli afferma. “La risposta è, su quasi tutta la linea, no”.
Fortunatamente, il Pentagono sta iniziando a prenderne atto. Lo scorso agosto, la Defense Advanced Research Projects Agency (DARPA) ha annunciato diversi grandi progetti di ricerca sull’IA. Tra questi c’è GARD, un programma incentrato sull’apprendimento automatico in ambiente ostile.
Hava Siegelmann, professore dell’Università del Massachusetts, ad Amherst, e responsabile del programma GARD, afferma che questi attacchi potrebbero essere devastanti in situazioni militari perché le persone non sono in grado di identificarli. “È come se fossimo ciechi”, spiega Siegelmann, “e questo li rende davvero molto pericolosi”.
Le sfide poste dall’apprendimento automatico in ambiente ostile spiegano anche perché il Pentagono vuole lavorare con aziende come Google e Amazon, nonché con istituzioni accademiche come il MIT. La tecnologia si sta evolvendo rapidamente e gli ultimi progressi stanno prendendo piede nei laboratori gestiti dalle aziende della Silicon Valley e dalle migliori università, non dai tradizionali appaltatori della Difesa.
Fondamentalmente, sta accadendo la stessa cosa anche al di fuori degli Stati Uniti, in particolare in Cina. “Penso che un mondo diverso stia arrivando e l’arma principale sarà l’IA”, dice Kanaan, l’esperto di IA dell’Air Force.
Le proteste contro l’uso militare dell’IA è comprensibile, ma la questione andrebbe inserita in un quadro più ampio. Anche se le persone si preoccupano dei robot killer intelligenti, forse un rischio più grande a breve termine è una guerra algoritmica, una che nemmeno le macchine più intelligenti possono controllare.
Immagine: Getty Images
(rp)
