Di luar jendela adalah 2022. Anda mengendarai mobil tanpa pengemudi, seperti biasa, melintasi kota. Mobil mendekati tanda berhenti, yang sudah berkali-kali dilewati, tapi kali ini tidak berhenti di depannya. Bagi Anda, tanda berhenti ini seperti yang lainnya. Tetapi untuk sebuah mobil, ini sangat berbeda. Beberapa menit sebelumnya, tanpa memperingatkan siapa pun, penyerang menempelkan piring kecil di papan nama, tidak terlihat oleh mata manusia, tetapi teknologi tidak dapat gagal untuk menyadarinya. Artinya, stiker kecil di papan itu mengubah tanda berhenti menjadi sesuatu yang sama sekali berbeda dari tanda berhenti.
Semua ini mungkin tampak luar biasa. Tetapi semakin banyak area penelitian yang membuktikan bahwa kecerdasan buatan dapat ditipu menjadi sesuatu seperti ini jika ia melihat beberapa detail kecil yang sama sekali tidak terlihat oleh manusia. Karena algoritme pembelajaran mesin semakin sering muncul di jalan kita, keuangan kita, sistem perawatan kesehatan kita, ilmuwan komputer berharap untuk mempelajari lebih lanjut tentang cara melindungi mereka dari serangan semacam itu - sebelum seseorang benar-benar mencoba untuk membodohi mereka.
"Ini adalah kekhawatiran yang berkembang dalam pembelajaran mesin dan komunitas AI, terutama karena algoritme ini semakin banyak digunakan," kata Daniel Lode, asisten profesor di Departemen Ilmu Komputer dan Informasi di Universitas Oregon. “Jika spam melewati atau diblokir oleh beberapa email, ini bukanlah akhir dari dunia. Tetapi jika Anda mengandalkan sistem penglihatan pada mobil yang dapat mengemudi sendiri yang memberi tahu mobil cara mengemudi tanpa menabrak apa pun, taruhannya jauh lebih tinggi.”
Entah mesin rusak atau diretas, algoritme pembelajaran mesin yang "melihat" dunia akan menderita. Begitu pula bagi mobilnya, panda itu tampak seperti siamang, dan bus sekolahnya tampak seperti burung unta.
Dalam satu percobaan, para ilmuwan dari Prancis dan Swiss menunjukkan bagaimana gangguan semacam itu dapat menyebabkan komputer salah mengira tupai sebagai rubah abu-abu dan teko kopi sebagai burung beo.
Bagaimana ini mungkin? Pikirkan tentang bagaimana anak Anda belajar mengenali angka. Melihat simbol satu per satu, anak mulai memperhatikan beberapa karakteristik umum: beberapa lebih tinggi dan lebih ramping, enam dan sembilan berisi satu lingkaran besar, dan delapan berisi dua, dan seterusnya. Begitu mereka melihat cukup banyak contoh, mereka dapat dengan cepat mengenali angka baru sebagai empat, delapan, atau kembar tiga - bahkan jika, berkat font atau tulisan tangan, mereka tidak terlihat persis seperti empat, delapan, atau kembar tiga yang pernah mereka miliki. terlihat sebelumnya.
Algoritme pembelajaran mesin belajar membaca dunia melalui proses yang agak mirip. Ilmuwan memberi komputer ratusan atau ribuan contoh (biasanya diberi label) dari apa yang ingin mereka temukan di komputer. Saat mesin menyaring data - ini adalah angka, ini bukan, ini angka, ini bukan - mesin mulai memperhatikan fitur-fitur yang mengarah pada respons. Segera dia mungkin melihat gambar itu dan berkata, "Itu lima!" dengan presisi tinggi.
Video promosi:
Dengan demikian, anak-anak manusia dan komputer dapat belajar mengenali berbagai macam objek, dari angka hingga kucing, dari perahu hingga wajah manusia.
Namun, tidak seperti anak manusia, komputer tidak memperhatikan detail tingkat tinggi - seperti telinga berbulu kucing atau bentuk sudut yang khas dari keempatnya. Dia tidak melihat gambaran keseluruhan.
Sebaliknya, ini melihat piksel individu dalam gambar - dan cara tercepat untuk memisahkan objek. Jika sebagian besar unit memiliki piksel hitam pada titik tertentu dan beberapa piksel putih pada titik lain, mesin akan dengan sangat cepat belajar menentukannya dengan beberapa piksel.
Sekarang kembali ke tanda berhenti. Dengan mengoreksi piksel dalam gambar secara tidak terlihat - para ahli menyebut gangguan ini "gangguan" - Anda dapat mengelabui komputer agar berpikir bahwa sebenarnya tidak ada tanda berhenti.
Studi serupa dari Evolutionary Artificial Intelligence Lab di University of Wyoming dan Cornell University telah menghasilkan cukup banyak ilusi optik untuk kecerdasan buatan. Gambar psikedelik pola dan warna abstrak ini tidak seperti apa pun bagi manusia, tetapi dengan cepat dikenali oleh komputer dalam bentuk ular atau senapan. Ini menunjukkan bagaimana AI dapat melihat sesuatu dan tidak melihat objeknya, atau melihat sesuatu yang lain.
Kelemahan ini umum terjadi di semua jenis algoritme pembelajaran mesin. “Orang bisa berharap setiap algoritme memiliki lubang di pelindung,” kata Yevgeny Vorobeychik, asisten profesor ilmu komputer dan komputasi di Vanderbilt University. “Kita hidup di dunia multidimensi yang sangat kompleks, dan algoritme, menurut sifatnya, hanya memengaruhi sebagian kecil saja.”
Sparrow "sangat yakin" bahwa jika kerentanan ini ada, seseorang akan mencari cara untuk memanfaatkannya. Mungkin seseorang telah melakukan ini.
Pertimbangkan filter spam, program otomatis yang menyaring email canggung. Pelaku spam dapat mencoba untuk mengatasi penghalang ini dengan mengubah ejaan kata (bukan Viagra - vi @ gra) atau menambahkan daftar "kata-kata baik" yang biasanya ditemukan dalam huruf normal: seperti "aha", "saya", "senang". Sementara itu, spammer bisa mencoba menghapus kata-kata yang sering muncul di spam, seperti "mobile" atau "win".
Di mana scammer bisa sampai suatu hari nanti? Mobil tanpa pengemudi yang tertipu oleh stiker tanda berhenti adalah skenario klasik yang dipikirkan oleh para ahli di bidangnya. Data tambahan dapat membantu pornografi lolos dari filter yang aman. Orang lain mungkin mencoba meningkatkan jumlah pemeriksaan. Peretas dapat mengubah kode perangkat lunak berbahaya untuk menghindari penegakan hukum.
Penyerang dapat mengetahui cara membuat data yang hilang jika mereka mendapatkan salinan algoritme pembelajaran mesin yang ingin mereka tipu. Tetapi tidak harus melalui algoritme. Seseorang dapat dengan mudah memecahnya dengan kekerasan dengan melemparkan versi email atau gambar yang sedikit berbeda sampai mereka lewat. Seiring waktu, ini bahkan dapat digunakan untuk model yang benar-benar baru yang tahu apa yang dicari orang baik dan data apa yang harus dihasilkan untuk menipu mereka.
“Orang-orang telah memanipulasi sistem pembelajaran mesin sejak pertama kali diperkenalkan,” kata Patrick McDaniel, profesor ilmu komputer dan teknik di University of Pennsylvania. "Jika orang menggunakan metode ini, kita mungkin tidak mengetahuinya."
Metode ini tidak hanya dapat digunakan oleh penipu - orang dapat bersembunyi dari sinar X dari teknologi modern.
“Jika Anda adalah semacam pembangkang politik di bawah rezim yang represif dan Anda ingin mengadakan acara tanpa sepengetahuan badan intelijen, Anda mungkin perlu menghindari metode observasi otomatis berdasarkan pembelajaran mesin,” kata Lode.
Dalam satu proyek yang diterbitkan pada bulan Oktober, para peneliti di Universitas Carnegie Mellon menciptakan sepasang kacamata yang secara halus dapat menyesatkan sistem pengenalan wajah, menyebabkan komputer salah mengira aktris Reese Witherspoon sebagai Russell Crowe. Kedengarannya konyol, tetapi teknologi seperti itu mungkin berguna bagi siapa pun yang sangat ingin menghindari penyensoran oleh mereka yang berkuasa.
Apa yang harus dilakukan dengan semua ini? “Satu-satunya cara untuk sepenuhnya menghindari hal ini adalah dengan membuat model sempurna yang akan selalu benar,” kata Lode. Bahkan jika kita bisa menciptakan kecerdasan buatan yang melampaui manusia dalam segala hal, dunia masih bisa menyelipkan babi ke tempat yang tidak terduga.
Algoritme pembelajaran mesin biasanya dinilai berdasarkan akurasinya. Program yang mengenali kursi 99% dari waktu akan jelas lebih baik daripada program yang mengenali 6 kursi dari 10. Tetapi beberapa ahli menyarankan cara lain untuk menilai kemampuan algoritme untuk mengatasi serangan: semakin keras semakin baik.
Solusi lain mungkin bagi para ahli untuk dapat mengatur kecepatan program. Buat contoh serangan Anda sendiri di lab berdasarkan kemampuan penjahat menurut pendapat Anda, lalu tunjukkan pada algoritme pembelajaran mesin. Ini dapat membantunya menjadi lebih tangguh dari waktu ke waktu - asalkan, tentu saja, serangan uji coba adalah jenis yang akan diuji di dunia nyata.
“Sistem pembelajaran mesin adalah alat untuk berpikir. Kami harus cerdas dan rasional tentang apa yang kami berikan kepada mereka dan apa yang mereka katakan kepada kami,”kata McDaniel. "Kita seharusnya tidak memperlakukan mereka sebagai ramalan kebenaran yang sempurna."
ILYA KHEL
