[ad_1]
Gli strumenti di intelligenza artificiale sono promettenti per applicazioni che vanno dai veicoli autonomi all’interpretazione delle immagini mediche. Tuttavia, un nuovo studio rileva che questi strumenti di intelligenza artificiale sono più vulnerabili di quanto si pensasse in precedenza agli attacchi mirati che costringono effettivamente i sistemi di intelligenza artificiale a prendere decisioni sbagliate.
Si tratta dei cosiddetti “attacchi contraddittori”, in cui qualcuno manipola i dati immessi in un sistema di intelligenza artificiale per confonderli. Ad esempio, qualcuno potrebbe sapere che mettere un tipo specifico di adesivo in un punto specifico su un segnale di stop potrebbe effettivamente rendere il segnale di stop invisibile a un sistema di intelligenza artificiale. Oppure un hacker potrebbe installare un codice su una macchina a raggi X che altera i dati dell’immagine in modo tale da indurre un sistema di intelligenza artificiale a effettuare diagnosi imprecise.
“Nella maggior parte dei casi, è possibile apportare qualsiasi tipo di modifica a un segnale di stop, e un’intelligenza artificiale che è stata addestrata a identificare i segnali di stop saprà comunque che si tratta di un segnale di stop”, afferma Tianfu Wu, coautore di un articolo sul segnale di stop. nuovo lavoro e professore associato di ingegneria elettrica e informatica presso la North Carolina State University. “Tuttavia, se l’intelligenza artificiale ha una vulnerabilità e un utente malintenzionato conosce la vulnerabilità, potrebbe trarne vantaggio e causare un incidente.”
Il nuovo studio di Wu e dei suoi collaboratori si è concentrato sulla determinazione di quanto siano comuni questo tipo di vulnerabilità avversarie nelle reti neurali profonde dell’IA. Hanno scoperto che le vulnerabilità sono molto più comuni di quanto si pensasse in precedenza.
“Inoltre, abbiamo scoperto che gli aggressori possono trarre vantaggio da queste vulnerabilità per costringere l’intelligenza artificiale a interpretare i dati come vogliono”, afferma Wu. “Usando l’esempio del segnale di stop, potresti far sì che il sistema di intelligenza artificiale pensi che il segnale di stop sia una cassetta della posta, o un segnale di limite di velocità, o un semaforo verde, e così via, semplicemente utilizzando adesivi leggermente diversi – o qualunque sia la vulnerabilità.
“Questo è incredibilmente importante, perché se un sistema di intelligenza artificiale non è robusto contro questo tipo di attacchi, non si vuole mettere il sistema in uso pratico, in particolare per applicazioni che possono influenzare la vita umana.”
Per testare la vulnerabilità delle reti neurali profonde a questi attacchi avversari, i ricercatori hanno sviluppato un software chiamato QuadAttacK. Il software può essere utilizzato per testare qualsiasi rete neurale profonda per le vulnerabilità degli avversari.
“Fondamentalmente, se si dispone di un sistema di intelligenza artificiale addestrato e lo si testa con dati puliti, il sistema di intelligenza artificiale si comporterà come previsto. QuadAttacK osserva queste operazioni e apprende come l’intelligenza artificiale sta prendendo decisioni relative ai dati. Ciò consente QuadAttacK per determinare come i dati potrebbero essere manipolati per ingannare l’intelligenza artificiale. QuadAttacK quindi inizia a inviare dati manipolati al sistema AI per vedere come risponde l’IA. Se QuadAttacK ha identificato una vulnerabilità che può far sì che l’IA veda rapidamente qualunque cosa QuadAttacK vuole che si veda.”
Nei test di prova, i ricercatori hanno utilizzato QuadAttacK testare quattro reti neurali profonde: due reti neurali convoluzionali (ResNet-50 e DenseNet-121) e due trasformatori di visione (ViT-B e DEiT-S). Queste quattro reti sono state scelte perché sono ampiamente utilizzate nei sistemi di intelligenza artificiale di tutto il mondo.
“Siamo rimasti sorpresi nello scoprire che tutte e quattro queste reti erano molto vulnerabili agli attacchi avversari”, afferma Wu. “Siamo rimasti particolarmente sorpresi dalla misura in cui siamo riusciti a perfezionare gli attacchi per far sì che le reti vedessero ciò che volevamo vedessero.”
Il gruppo di ricerca ha realizzato QuadAttacK disponibile al pubblico, in modo che la comunità di ricerca possa utilizzarlo per testare le vulnerabilità delle reti neurali. Il programma può essere trovato qui: https://thomaspaniagua.github.io/quadattack_web/.
“Ora che possiamo identificare meglio queste vulnerabilità, il passo successivo è trovare modi per minimizzarle”, afferma Wu. “Abbiamo già alcune potenziali soluzioni, ma i risultati di questo lavoro sono ancora imminenti.”
Il documento “QuadAttacK: Un approccio di programmazione quadratica all’apprendimento ordinato in altoK Adversarial Attacks”, sarà presentato il 16 dicembre alla trentasettesima conferenza sui sistemi di elaborazione delle informazioni neurali (NeurIPS 2023), che si terrà a New Orleans, in Louisiana. Il primo autore dell’articolo è Thomas Paniagua, un Ph.D. L’articolo è stato scritto in collaborazione con Ryan Grainger, uno studente di dottorato presso la NC State.
Il lavoro è stato svolto con il sostegno dell’Ufficio di ricerca dell’esercito americano, con le sovvenzioni W911NF1810295 e W911NF2210010; e dalla National Science Foundation, con le sovvenzioni 1909644, 2024688 e 2013451.
[ad_2]
Source link
