Новый способ обучения систем ИИ поможет защитить их от хакеров

Одной из крупнейших нерешенных проблем глубокого обучения является его уязвимость к так называемым «состязательным атакам». Добавление к вводным данным системы ИИ случайной или скрытой для человеческого глаза информации может привести к сбою в работе. Большинство состязательных исследований сосредоточено на системах распознавания изображений, но системы реконструкции изображений, основанные на глубоком обучении, также уязвимы. Это создает большую опасность в сфере здравоохранения, где подобные системы часто используются для восстановления медицинских изображений, таких как компьютерная томография или МРТ, по рентгеновским данным. Например, целенаправленная атака может привести к тому, что система отобразит опухоль там, где ее быть не должно.

Специалисты Иллинойского университета в Урбане-Шампейне предложили новый метод обучения глубоких нейронных сетей, обеспечивающий меньшее число ошибок и повышающий надежность таких систем в критических ситуациях.

Метод предполагает сопоставление нейронных сетей, ответственных за реконструкцию изображений, и сетей, генерирующих примеры состязательных атак, по типу GAN алгоритмов. Посредством повторяющихся циклов состязательная сеть попытается обмануть сеть, отвечающую за реконструкцию изображений, таким образом, чтобы та генерировала элементы, не являющиеся частью оригинальных данных. В свою очередь, сеть реконструкции будет постоянно модифицироваться с тем, чтобы не дать себя обмануть, таким образом повышая свою надежность.

Исследователи протестировали разработку на ряде популярных наборов изображений. Хотя в плане восстановления оригинальных данных обученная ими сеть оказалась эффективнее по сравнению с прочими «отказоустойчивыми» системами, она все еще требует доработки.

Экспертам уже не раз удавалось обмануть ИИ с помощью так называемых «состязательных атак». Напомним, в феврале прошлого года исследователи безопасности из McAfee Advanced Threat Research продемонстрировали кибератаку на несколько машин Tesla, в результате которой транспортные средства ошибочно разгонялись с 56 км/час до 136 км/час. Специалисты смогли обмануть автомобильную систему камер MobilEye EyeQ3, слегка изменив знак ограничения скорости на обочине дороги так, чтобы водитель ничего не заподозрил.