Pequenas quantidades de ruído artificial podem enganar as redes neurais, mas não os humanos. Alguns pesquisadores estão procurando uma solução na neurociência.”
A inteligência artificial vê coisas que nós não vemos – muitas vezes em seu detrimento. Embora as máquinas tenham se tornado incrivelmente boas no reconhecimento de imagens, ainda é fácil enganá-las. Basta adicionar uma pequena quantidade de ruído às imagens de entrada, indetectável ao olho humano, e a IA de repente classifica ônibus escolares, cães ou edifícios como objetos completamente diferentes, como avestruzes.
Em um artigo postado online em junho, Nicolas Papernot, da Universidade de Toronto, e seus colegas estudaram diferentes tipos de modelos de aprendizado de máquina que processam a linguagem e encontraram uma maneira de enganá-los interferindo em seu texto de entrada em um processo invisível para os humanos. As instruções ocultas só são vistas pelo computador quando ele lê o código por trás do texto para mapear as letras em bytes em sua memória. A equipe de Papernot mostrou que mesmo acréscimos minúsculos, como caracteres únicos que codificam para espaços em branco, podem causar estragos na compreensão do texto pelo modelo. E essas confusões também têm consequências para os usuários humanos – em um exemplo, um único caractere fez com que o algoritmo emitisse uma frase dizendo ao usuário para enviar dinheiro para uma conta bancária incorreta.
Esses atos de engano são um tipo de ataque conhecido como exemplos adversários, mudanças intencionais em uma entrada projetada para enganar um algoritmo e fazer com que ele cometa um erro. Essa vulnerabilidade ganhou destaque na pesquisa de IA em 2013, quando os pesquisadores enganaram uma Deep Neural Network, um modelo de Machine Learning com muitas camadas de “neurônios” artificiais que realizam cálculos.
Por enquanto, não temos soluções infalíveis contra qualquer meio de exemplos adversários – imagens, texto ou outro. Mas há esperança. Para reconhecimento de imagem, os pesquisadores podem treinar propositalmente uma Deep Neural Network com imagens adversárias para que fique mais confortável em vê-las. Infelizmente, essa abordagem, conhecida como treinamento adversário, apenas defende bem contra os exemplos adversários que o modelo viu. Além disso, diminui a precisão do modelo em imagens não adversárias e é computacionalmente caro. Recentemente, o fato de os humanos serem tão raramente enganados por esses mesmos ataques levou alguns cientistas a buscar soluções inspiradas em nossa própria visão biológica.
“A evolução tem otimizado muitos, muitos organismos por milhões de anos e encontrou algumas soluções muito interessantes e criativas”, disse Benjamin Evans, neurocientista computacional da Universidade de Bristol. “Cabe a nós dar uma olhada nessas soluções e ver se podemos fazer a engenharia reversa delas.”
Foco na Fóvea
A primeira diferença gritante entre a percepção visual em humanos e máquinas começa com o fato de que a maioria dos humanos processa o mundo através de nossos olhos, e as Deep Neurals Networks não. Vemos as coisas com mais clareza no meio de nosso campo visual devido à localização de nossa fóvea, um pequeno buraco centrado atrás da pupila na parte de trás de nossos olhos. Lá, milhões de fotorreceptores que detectam a luz estão agrupados de forma mais densa do que em qualquer outro lugar.
“Achamos que vemos tudo ao nosso redor, mas isso é em grande parte uma ilusão”, disse Tomaso Poggio, neurocientista computacional do Instituto de Tecnologia de Massachusetts e diretor do Centro de Cérebros, Mentes e Máquinas.
As máquinas “vêem” analisando uma grade de números que representa a cor e o brilho de cada pixel de uma imagem. Isso significa que eles têm a mesma acuidade visual em todo o campo de visão (ou melhor, em sua grade de números). Poggio e seus colaboradores se perguntaram se o processamento de imagens da mesma forma que nossos olhos – com um foco claro e um limite borrado – poderia melhorar a robustez adversária ao diminuir o impacto do ruído na periferia. Eles treinaram Deep Neurals Networks com imagens editadas para exibir alta resolução em apenas um lugar, imitando onde nossos olhos podem focar, com resolução decrescente expandindo para fora. Como nossos olhos se movem para se fixar em várias partes de uma imagem, eles também incluem muitas versões da mesma imagem com diferentes áreas de alta resolução.
Seus resultados, publicados no ano passado, sugeriram que os modelos treinados com suas imagens “fovuladas” levaram a um melhor desempenho contra exemplos adversários sem queda na precisão. Mas seus modelos ainda não eram tão eficazes contra os ataques quanto o treinamento adversário, a melhor solução não biológica. Dois pesquisadores de pós-doutorado no laboratório de Poggio, Arturo Deza e Andrzej Banburski, estão continuando esta linha de trabalho incorporando cálculos foveatados mais complexos, com maior ênfase nos cálculos que ocorrem em nossa visão periférica.
Espelhamento de neurônios visuais
É claro que a luz que atinge as células de nossos olhos é apenas o primeiro passo. Uma vez que os sinais elétricos dos fotorreceptores saem da parte de trás de nossos olhos, eles viajam ao longo das fibras nervosas até chegarem ao local do processamento visual na parte de trás de nossos cérebros. Avanços iniciais sobre como os neurônios individuais são hierarquicamente organizados para representar características visuais, como a orientação de uma linha, inspiraram o cientista da computação Kunihiko Fukushima a desenvolver a primeira rede neural convolucional (CNN) em 1980. Este é um tipo de modelo de aprendizado de máquina agora amplamente utilizado para processamento de imagem que foi encontrado para imitar parte da atividade cerebral em todo o córtex visual.
CNNs funcionam usando filtros que fazem a varredura de imagens para extrair recursos específicos, como as bordas de um objeto. Mas o processamento que acontece em nosso córtex visual ainda é muito diferente e mais complexo, e alguns pensam que espelhá-lo mais de perto poderia ajudar as máquinas a verem mais como nós – inclusive contra exemplos adversários.
Os laboratórios de James DiCarlo no MIT e Jeffrey Bowers na University of Bristol têm feito exatamente isso. Ambos os laboratórios adicionaram um filtro especial que aproxima como neurônios individuais extraem informações visuais em uma região conhecida como córtex visual primário, e o laboratório de DiCarlo foi além, adicionando recursos como um gerador de ruído destinado a replicar os neurônios barulhentos do cérebro, que disparam aleatoriamente vezes. Essas adições tornaram a visão de máquina mais humana ao evitar uma dependência excessiva de textura (um problema comum de IA) e dificuldades com distorções de imagem, como desfoque.
Quando o laboratório de DiCarlo testou sua CNN aprimorada contra exemplos adversários, os resultados sugeriram que as modificações deram um aumento de quatro vezes na precisão das imagens adversárias, com apenas uma queda minúscula na precisão em imagens limpas em comparação com os modelos padrão da CNN. Ele também superou o método de treinamento do adversário, mas apenas para tipos de imagens do adversário que não foram usadas durante o treinamento. Eles descobriram que todos os seus acréscimos inspirados biologicamente trabalharam juntos para se defender contra ataques, com o mais importante sendo o ruído aleatório que seu modelo adicionou a cada neurônio artificial.
Em um novo artigo de conferência publicado em novembro, o laboratório de DiCarlo trabalhou com outras equipes para estudar o impacto do ruído neural. Eles adicionaram ruído aleatório a uma nova rede neural artificial, desta vez inspirada em nosso sistema auditivo. Eles afirmam que este modelo também evitou com sucesso exemplos adversários para sons de fala – e novamente descobriram que o ruído aleatório desempenhava um grande papel. “Ainda não descobrimos por que o ruído interage com os outros recursos”, disse Joel Dapello, estudante de doutorado no laboratório de DiCarlo e co-autor dos artigos. “Essa é uma questão em aberto.”
Máquinas que dormem
O que nossos cérebros fazem quando nossos olhos estão fechados e nosso córtex visual não está processando o mundo exterior pode ser tão importante para nossa armadura biológica contra ataques. Maksim Bazhenov, neurocientista computacional da Universidade da Califórnia, em San Diego, passou mais de duas décadas estudando o que acontece em nossos cérebros enquanto dormimos. Recentemente, seu laboratório começou a investigar se colocar algoritmos para dormir pode consertar uma série de problemas de IA, incluindo exemplos adversários.
A ideia deles é simples. O sono desempenha um papel crítico na consolidação da memória, que é como nossos cérebros transformam experiências recentes em memórias de longo prazo. Pesquisadores como Bazhenov acham que o sono também pode contribuir para construir e armazenar nosso conhecimento generalizado sobre as coisas que encontramos todos os dias. Se for esse o caso, então as redes neurais artificiais que fazem algo semelhante também podem ficar melhores no armazenamento de conhecimento generalizado sobre seu assunto – e se tornar menos vulneráveis a pequenos acréscimos de ruído de exemplos adversários.
“O sono é uma fase em que o cérebro realmente tem tempo para desligar a entrada externa e lidar com suas representações internas”, disse Bazhenov. “E, assim como um sistema biológico, [as máquinas] podem precisar de algum período de sono.”
Em um artigo da conferência de 2020 liderado pelo estudante de graduação Timothy Tadros, o laboratório de Bazhenov colocou uma rede neural artificial em uma fase de sono após treiná-la para reconhecer imagens. Durante o sono, a rede não era mais forçada a atualizar as conexões entre seus neurônios de acordo com um método de aprendizagem comum que se baseia na minimização de erros, conhecido como Backpropagation. Em vez disso, a rede estava livre para atualizar suas conexões de uma maneira não supervisionada, imitando a maneira como nossos neurônios atualizam suas conexões de acordo com uma teoria influente chamada plasticidade Hebbian. Depois do sono, a rede neural exigiu que mais ruído fosse adicionado a um exemplo adversário antes que pudesse ser enganado, em comparação com as redes neurais que não dormiram. Mas houve uma ligeira queda na precisão das imagens não adversárias e, para alguns tipos de ataques, o treinamento adversário ainda era a defesa mais forte.
Um futuro incerto
Apesar do progresso recente no desenvolvimento de abordagens inspiradas na biologia para proteger contra exemplos adversários, eles têm um longo caminho a percorrer antes de serem aceitos como soluções comprovadas. Pode ser apenas uma questão de tempo até que outro pesquisador seja capaz de derrotar essas defesas – uma ocorrência extremamente comum no campo do aprendizado de máquina adversarial.
Nem todo mundo está convencido de que a biologia é mesmo o lugar certo para procurar.
“Não creio que tenhamos o grau de compreensão ou treinamento de nosso sistema para saber como criar um sistema de inspiração biológica que não seja afetado adversamente por esta categoria de ataques”, disse Zico Kolter, cientista da computação da Universidade Carnegie Mellon. Kolter desempenhou um grande papel na concepção de métodos de defesa não biologicamente inspirados contra exemplos adversários e ele acha que será um problema incrivelmente difícil de resolver.
Kolter prevê que o caminho mais bem-sucedido adiante envolverá o treinamento de redes neurais em quantidades muito maiores de dados – uma estratégia que tenta permitir que as máquinas vejam o mundo tanto quanto nós, mesmo que não o vejam da mesma maneira.
Publicado em 08/12/2021 17h21
Artigo original: