Los algoritmos de visión artificial siguen siendo demasiado fáciles de engañar

Categoría: Inteligencia artificial Al corriente 20 de diciembre

El reconocimiento de imágenes de IA ha logrado algunos avances sorprendentes, pero como muestra una nueva investigación, los sistemas aún pueden tropezar con ejemplos que nunca engañarían a una persona.





Labsix, un grupo de estudiantes del MIT que recientemente engañó un clasificador de imágenes desarrollado por Google para pensar una La tortuga impresa en 3D era un rifle , lanzó un papel el miercoles que detalla una técnica diferente que podría engañar a los sistemas aún más rápido. Esta vez, sin embargo, lograron engañar a una caja negra, donde solo tenían información parcial sobre cómo el sistema estaba tomando decisiones.

El nuevo algoritmo del equipo comienza con una imagen que quiere usar para engañar a otro sistema (en el ejemplo de su artículo, es un perro) y luego comienza a alterar los píxeles para que la imagen se parezca más a la imagen de origen; en este caso, esquiadores. Mientras funciona, el algoritmo contradictorio desafía el sistema de reconocimiento de imágenes con versiones de la imagen que se mueven rápidamente hacia un territorio que cualquier ser humano reconocería como esquiadores (vea el gif, arriba). Pero mientras tanto, el algoritmo mantiene la combinación correcta de píxeles saboteados para que el sistema piense que está mirando a un perro.

Los investigadores probaron su método en la API Cloud Vision de Google, un buen caso de prueba en parte porque Google no ha publicado nada sobre cómo funciona el software de visión por computadora, ni siquiera sobre todas las etiquetas que usa el sistema para clasificar las imágenes. El equipo dice que hasta ahora solo han intentado frustrar el sistema de Google, pero que su técnica también debería funcionar en otros sistemas de reconocimiento de imágenes.



Hay muchos investigadores trabajando en contrarrestar ejemplos adversarios así, pero para usos críticos para la seguridad, como vehículos autónomos , no se confiará en la inteligencia artificial hasta que los ataques adversarios sean imposibles, o al menos mucho más difíciles, de llevar a cabo.