Un nuovo sistema di difesa per l’IA dagli attacchi degli hacker

Per risolvere il problema della vulnerabilità ai cosiddetti attacchi antagonistici, si stanno creando dei sistemi di apprendimento profondo a prova di errore e di conseguenza affidabili in scenari a rischio per la sicurezza.

di Karen Hao

Se aggiunte all’input di un sistema di intelligenza artificiale, alcune particolari “illusioni ottiche”, apparentemente casuali o non rilevabili all’occhio umano, possono mandare in tilt un sitema basato sull’intelligenza artificiale. Gli adesivi posizionati strategicamente su un segnale di stop, per esempio, possono indurre un’auto a guida autonoma a interpretare in modo erroneo un segnale di limite di velocità, mentre gli adesivi della segnaletica stradale ai lati delle corsie possono confondere una Tesla e farla andare  nella direzione sbagliata.

La maggior parte della ricerca sugli attacchi antagonistici si concentra sui sistemi di riconoscimento delle immagini, ma sono esattamente questi sistemi di ricostruzione delle immagini basati sull’apprendimento profondo a essere vulnerabili. Le conseguenze di questa situazione destano particolare preoccupazione per l’assistenza sanitaria, in cui le tecnologie dell’apprendimento profondo vengono spesso utilizzate per ricostruire le immagini mediche di scansioni TC o MRI a partire dai dati dei raggi X. Un attacco antagonistico mirato potrebbe far sì che un tale sistema ricostruisca un tumore in una scansione in cui non ve ne è traccia.

Bo-Li (una dei giovani innovatori under 35 di “MIT Technology Review” di quest’anno) e i suoi colleghi dell’Università dell’Illinois a Urbana-Champaign hanno proposto un nuovo metodo per creare sistemi di apprendimento profondo a prova di errore e quindi affidabili in scenari critici per la sicurezza. 

I ricercatori mettono in rapporto la rete neurale responsabile della ricostruzione dell’immagine con un’altra rete neurale responsabile della generazione di attacchi antagonistici, in uno stile simile agli algoritmi per le GAN, le reti antagoniste generative. 

Attraverso cicli iterativi, la rete antagonista tenta di ingannare la rete di ricostruzione per produrre cose che non fanno parte dei dati empirici originali. La rete di ricostruzione si modifica continuamente per evitare di essere ingannata, rendendo più sicuro il suo impiego nel mondo reale.

La loro rete neurale antagonista addestrata su due insiemi di dati di immagini comuni è stata in grado di ricostruire il training set meglio di altre reti neurali che si erano dimostrate “a prova di fallimento” con metodi diversi. I risultati non sono ancora quelli desiderati, tuttavia, il che dimostra che il metodo deve ancora essere perfezionato. Il lavoro sarà presentato la prossima settimana alla International Conference on Machine Learning (sulla newsletter Algorithm si possono trovare informazioni sulla Conferenza).

Immagine di: Callista Images / Getty

(rp)

Related Posts
Total
0
Share