Eine neue Methode des KI-Systeme – Trainings könnte sie vor Hackern sicherer machen
11. Juli 2020Eine neue Methode des KI-Systeme – Trainings könnte sie vor Hackern sicherer machen
New York, 11.7.2020
Eines der größten ungelösten Mängel des Deep Learnings ist seine Anfälligkeit für Hacker- Angriffe. Wenn man diese für das menschliche Auge scheinbar zufälligen oder nicht wahrnehmbaren Störungen zum Input eines KI-Systems hinzufügt, können die Dinge völlig aus dem Ruder laufen. Aufkleber, die strategisch auf einem Stoppschild angebracht werden, können zum Beispiel ein selbstfahrendes Auto dazu verleiten, ein Geschwindigkeitsbegrenzungsschild bei einer Geschwindigkeit von 45 Meilen pro Stunde zu sehen, während Aufkleber auf einer Straße einen Tesla dazu verleiten können, in die falsche Spur abzubiegen.
Die meisten gegnerischen Forschungen konzentrieren sich auf Bilderkennungssysteme, aber auch die auf Deep Learning basierten Bildrekonstruktionssysteme sind anfällig. Besonders beunruhigend ist dies im Gesundheitswesen, wo letztere häufig zur Rekonstruktion medizinischer Bilder wie CT- oder MRI-Scans aus Röntgendaten verwendet werden. Ein gezielter gegnerischer Angriff könnte ein solches System dazu veranlassen, einen Tumor in einem Scan zu rekonstruieren, wo kein Tumor vorhanden ist.
Bo Li (die in der diesjährigen MIT Technology Review Innovators Under 35 genannt wurde) und ihre Kollegen von der University of Illinois at Urbana-Champaign schlagen nun eine neue Methode vor, um solche tief lernenden Systeme so zu trainieren, dass sie in sicherheitskritischen Szenarien ausfallsicherer und damit vertrauenswürdiger sind. Sie stellen das neuronale Netz, das für die Bildrekonstruktion zuständig ist, einem anderen neuronalen Netz gegenüber, das für die Generierung kontradiktorischer Beispiele zuständig ist, und zwar in ähnlicher Weise wie GAN-Algorithmen. In iterativen Runden versucht das gegnerische Netzwerk, das Rekonstruktionsnetzwerk so zu täuschen, dass es Dinge produziert, die nicht Teil der Originaldaten oder der Grundwahrheit sind. Das Rekonstruktionsnetzwerk passt sich ständig selbst an, um sich nicht täuschen zu lassen, was den Einsatz in der realen Welt sicherer macht.
Als die Forscher ihr neu trainiertes neuronales Netz an zwei populären Bilddatensätzen testeten, konnte es die Grundwahrheit besser rekonstruieren als andere neuronale Netze, die mit verschiedenen Methoden „ausfallsicher“ gemacht worden waren. Die Ergebnisse sind jedoch noch immer nicht perfekt, was zeigt, dass die Methode noch verfeinert werden muss. Die Arbeit wird nächste Woche auf der Internationalen Konferenz über maschinelles Lernen vorgestellt.
