Les nombres imaginaires protègent l’IA des menaces très réelles

Les nombres imaginaires protègent l'IA des menaces très réelles

Les pertes de performances (axe des y) et de sécurité (axe des x) sont tracées ensemble au fur et à mesure que les différents types de réseaux (standard ou à valeur complexe) sont entraînés aux tâches de classification d’images à l’aide des vues Google Street des numéros de maison et des vêtements. Dans ces expériences, les réseaux à valeurs complexes obtiennent toujours de meilleurs résultats d’environ 10 à 20 %. Crédit : Eric Yeats, Duke University

Les ingénieurs informaticiens de l’Université Duke ont démontré que l’utilisation de nombres complexes (nombres avec des composants réels et imaginaires) peut jouer un rôle essentiel dans la sécurisation des algorithmes d’intelligence artificielle contre les attaques malveillantes qui tentent de tromper les logiciels d’identification d’objets en modifiant subtilement les images. En incluant seulement deux couches à valeur complexe parmi des centaines, voire des milliers d’itérations d’entraînement, la technique peut améliorer les performances contre de telles attaques sans sacrifier l’efficacité.

La recherche a été présentée aux Actes de la 38e Conférence internationale sur l’apprentissage automatique.

“Nous voyons déjà des algorithmes d’apprentissage automatique mis en œuvre dans le monde réel qui prennent de vraies décisions dans des domaines tels que l’autonomie des véhicules et la reconnaissance faciale”, a déclaré Eric Yeats, doctorant travaillant dans le laboratoire d’Helen Li, la Clare Boothe. Luce Professeur de génie électrique et informatique à Duke. “Nous devons réfléchir à des moyens de nous assurer que ces algorithmes sont fiables pour s’assurer qu’ils ne peuvent causer aucun problème ou blesser qui que ce soit.”

Les algorithmes d’apprentissage automatique conçus pour identifier des objets et des images peuvent être trompés par le biais d’attaques contradictoires. Cela implique essentiellement de modifier l’image d’une manière qui casse le processus de prise de décision de l’IA. Cela peut être aussi simple que d’ajouter des autocollants à un panneau d’arrêt ou aussi sophistiqué que d’ajouter une couche de statique soigneusement conçue à une image qui la modifie de manière indétectable à l’œil humain.

La raison pour laquelle ces petites perturbations peuvent causer des problèmes aussi importants découle de la façon dont les algorithmes d’apprentissage automatique sont entraînés. Une méthode standard appelée descente de gradient compare les décisions prises aux bonnes réponses, tente de modifier son fonctionnement interne pour corriger les erreurs et répète le processus encore et encore jusqu’à ce qu’il ne s’améliore plus.

Une façon de visualiser cela est d’imaginer un rocher roulant à travers une vallée de collines et de montagnes. À chaque itération d’apprentissage automatique, les paramètres de travail de l’algorithme (boulder) s’enfoncent davantage dans la vallée. Lorsqu’il commence à gravir une nouvelle colline, l’algorithme change de cap pour continuer à rouler vers le bas. Finalement, le rocher s’installe dans la meilleure réponse (endroit le plus bas) autour.

Un aspect difficile de cette approche est que la vallée dans laquelle le rocher roule est un terrain particulièrement accidenté – pensez à l’Himalaya au lieu des Appalaches. Un petit coup de pouce dans la mauvaise direction peut faire chuter le rocher vers un résultat très différent. C’est pourquoi une statique à peine perceptible peut faire qu’un classificateur d’images voit un gibbon au lieu d’un panda.

Pour garder leurs algorithmes sur la bonne voie, les informaticiens peuvent entraîner leurs algorithmes avec une technique appelée régularisation de gradient. Cela amène le rocher à choisir des chemins qui ne sont pas aussi raides. Bien que le rocher emprunte un chemin différent et plus long jusqu’à son dernier point de repos, il garantit également que le rocher roule doucement dans la bonne vallée au lieu d’être poussé hors d’un ravin voisin.

Les nombres imaginaires protègent l'IA des menaces très réelles

Une statique subtile peut tromper l’IA en classant un panda comme un gibbon. Crédit : Expliquer et exploiter les exemples contradictoires, Goodfellow et al, ICLR 2015

“La régularisation de gradient rejette toute solution qui renvoie un gradient important à travers le réseau de neurones”, a déclaré Yeats. “Cela réduit le nombre de solutions auxquelles il pourrait arriver, ce qui a également tendance à diminuer la façon dont l’algorithme parvient réellement à la bonne réponse. C’est là que les valeurs complexes peuvent aider. Compte tenu des mêmes paramètres et opérations mathématiques, l’utilisation de valeurs complexes est plus efficace de résister à cette baisse de performance.”

Il y a de fortes chances que la plupart d’entre nous n’aient pas pensé – ou même entendu les mots – des nombres imaginaires depuis environ la 8e année. Et leur introduction était probablement accompagnée de gémissements suivis d’un refrain de “Pourquoi vais-je jamais utiliser ça?” Mais les nombres imaginaires sont extrêmement utiles pour décrire les ondes sinusoïdales, qui ressemblent beaucoup à une vallée de collines et de montagnes.

Lorsque le réseau de neurones est entraîné sur un ensemble d’images, l’utilisation de nombres complexes avec des composants imaginaires lui donne une flexibilité supplémentaire dans la façon dont il ajuste ses paramètres internes pour arriver à une solution. Plutôt que de seulement pouvoir multiplier et accumuler les changements, il peut décaler la phase des ondes qu’il additionne, leur permettant de s’amplifier ou de s’annuler. L’effet est que cette vallée autrefois accidentée est lissée sur des surfaces localement plus plates avec plusieurs niveaux qui permettent de nombreux changements d’altitude dans d’autres zones.

“Les réseaux de neurones à valeur complexe ont le potentiel d’explorer un paysage plus” en terrasses “ou” en plateaux “”, a déclaré Yeates. “Et le changement d’altitude permet au réseau de neurones de concevoir des choses plus complexes, ce qui signifie qu’il peut identifier plus d’objets avec plus de précision.”

Cette capacité supplémentaire permet aux réseaux de neurones de régularisation de gradient utilisant des nombres complexes de trouver des solutions aussi rapidement que ceux formés sans sécurité supplémentaire. Dans ses recherches, Yeats montre que les classificateurs d’images visant à reconnaître les numéros de maison de Google Maps et différents vêtements formés à son approche sont plus sûrs que les méthodes standard tout en étant performants au même niveau.

“C’est toujours un problème ouvert et difficile”, a déclaré Yeats. “Donc, les chercheurs font ce qu’ils peuvent pour faire un peu mieux ici et là.”


Méthode d’apprentissage automatique pour trouver des solutions optimales dans des espaces de conception extrêmement grands


Plus d’information:
“Amélioration de la régularisation des gradients à l’aide de réseaux de neurones à valeur complexe.” Eric Yeats, Yiran Chen, Hai Li. Actes de la 38e Conférence internationale sur l’apprentissage automatique, PMLR 139, 2021.

Fourni par l’Université Duke

Citation: Des nombres imaginaires protègent l’IA de menaces très réelles (2021, 1er septembre) récupéré le 1er septembre 2021 sur https://techxplore.com/news/2021-09-imaginary-ai-real-threats.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.