El reconocimiento de imágenes utilizando redes neuronales está mejorando, pero hasta ahora los investigadores no han superado algunas de sus deficiencias fundamentales. Donde una persona ve clara y claramente, por ejemplo, una bicicleta, incluso una IA avanzada y entrenada puede ver un pájaro.
A menudo, la razón son los llamados "datos dañinos" (o "elementos competitivos", o "copias maliciosas" o incluso un montón de opciones, porque los "ejemplos adversarios" no han recibido una traducción generalmente aceptada). Estos son los datos que el clasificador de la red neuronal engaña, deslizando signos de otras clases: información no importante y no visible para la percepción humana, pero necesaria para la visión artificial.
Los investigadores de Google publicaron un trabajo en 2015, donde ilustraron el problema con este ejemplo:
Se aplicó un gradiente "dañino" a la imagen del panda. La persona en la imagen resultante, por supuesto, continúa viendo al panda, y la red neuronal lo reconoce como un gibón, ya que los signos de otra clase se mezclaron especialmente en aquellas partes de la imagen por las cuales la red neuronal aprendió a identificar a los pandas.
En áreas donde la visión artificial debe ser extremadamente precisa, y el error, la piratería y las acciones de los atacantes pueden tener consecuencias nefastas, los datos dañinos son un obstáculo serio para el desarrollo. El progreso en la lucha es lento, y GoogleAI (la unidad de investigación de IA de Google) decidió atraer el poder de la comunidad y organizar una competencia.
La compañía ofrece a todos crear sus propios mecanismos de protección contra datos dañinos, o viceversa, imágenes perfectamente estropeadas que ningún algoritmo reconoce correctamente. Quien pueda hacer lo mejor obtendrá un gran premio en efectivo (el tamaño aún no se ha anunciado).
La competencia comenzará calentando y ejecutando los primeros algoritmos en ataques simples con datos dañinos. Google ha elegido tres conjuntos de datos con tipos de trampas comunes y bien estudiados. Los participantes deben crear algoritmos que reconozcan todas las imágenes propuestas en ellos sin un solo error o respuesta vaga.
Dado que las condiciones en las que se basan los datos dañinos en los conjuntos de datos de calefacción son conocidos y accesibles, los organizadores esperan que los participantes creen fácilmente algoritmos altamente personalizados específicamente para estos ataques. Por lo tanto, advierten: la solución más obvia de las existentes no tiene una sola posibilidad en la segunda ronda. Comienza después del calentamiento, y ya habrá una parte competitiva en él, donde los participantes se dividirán en atacantes y defensores.
El concurso se desarrollará en torno al reconocimiento de imágenes con pájaros y bicicletas. Primero, cada imagen propuesta será vista por personas y emitirá un veredicto anónimo que se muestra allí. Una imagen solo entrará en el conjunto de datos cuando todos los jueces estén de acuerdo en que muestra claramente un pájaro o una bicicleta, y no hay signos de confusión obvia (por ejemplo, pájaros en bicicleta o simplemente patrones abstractos y fotografías).
Arriba hay ejemplos de imágenes adecuadas, abajo no son adecuadasLos participantes defensores deben crear un algoritmo que, sin un solo error, distribuya las imágenes en tres categorías: "pájaros", "bicicletas" e "indefinido".Es decir, en la etapa competitiva, a diferencia del calentamiento, el algoritmo puede abstenerse de responder, pero de acuerdo con los resultados del procesamiento del conjunto de datos, no más del 20% de las imágenes deben caer en el tiempo indefinido.
Los requisitos técnicos para los algoritmos son los siguientes:
- El 80% de las imágenes deben ser reconocidas. No se permiten errores. Si los participantes ya se unen durante la etapa competitiva, deben procesar con éxito los 2 conjuntos de datos anteriores.
- El ancho de banda debe ser de al menos 1 imagen por minuto en el Tesla P100.
- El sistema debe ser fácil de leer, escrito en TensorFlow, PyTorch, Caffe o NumPy. Los sistemas demasiado confusos y difíciles de reproducir pueden eliminarse de la competencia por decisión de los jueces.
Si el algoritmo de protección dura 90 días sin errores, sus creadores se llevarán la mitad del pozo de premios.
Los atacantes obtienen acceso a modelos no entrenados y a todo el código fuente de los algoritmos.Su tarea es crear una imagen que todos los jueces aceptarán como una imagen inequívoca de una bicicleta o un pájaro, y el algoritmo tomará la decisión equivocada. Google recopilará todas las imágenes propuestas para cada semana, luego las enviará para su inspección y solo luego las incluirá en los conjuntos de datos.
Si los atacantes logran engañar al algoritmo que hizo frente a las tareas anteriores, recibirán dinero de la segunda mitad del pozo de premios. Si varios equipos logran el éxito, entonces el dinero se dividirá entre ellos.
La competencia no tiene plazos claros y durará hasta que aparezca el mejor algoritmo de protección. Según los organizadores, su objetivo no es solo un sistema difícil de eludir, sino una red neuronal que es completamente inmune a cualquier ataque. Las pautas para la participación se pueden encontrar en
la página del proyecto en Github .