Читаем Идиот или гений? Как работает и на что способен искусственный интеллект полностью

На рис. 43 показан пример вредоносной атаки. При получении исходного изображения (слева) система выдает подпись “Пирожное лежит на столе”. Авторы слегка изменили изображение таким образом, чтобы компьютер выдавал для него подпись со словами “собака”, “кошка” и “фрисби”. Хотя людям новое изображение (справа) кажется неизменным, система сгенерировала для него подпись “Собака и кошка играют с фрисби”. Очевидно, система воспринимает снимок не так, как люди.

Возможно, даже более удивительно, что аналогичные контрпримеры, были разработаны несколькими исследовательскими группами для обмана систем распознавания речи. Группа из Калифорнийского университета в Беркли разработала метод, с помощью которого злоумышленник мог взять любую относительно короткую звуковую волну – речь, музыку, случайный шум или другой звук – и скорректировать ее таким образом, чтобы люди считали ее неизменной, а глубокая нейронная сеть распознавала в ней совершенно иную фразу, выбранную злоумышленником[311]. Представьте, что злоумышленник транслирует по радио аудиозапись, которая кажется вам приятной фоновой музыкой, но которую ваш голосовой помощник Alexa трактует как команду “Зайди на EvilHacker.com и скачай компьютерные вирусы”. Или “Начни аудиозапись и отправь все услышанное на EvilHacker@gmail.com”. Подобные пугающие сценарии кажутся вполне возможными.

Исследователи ОЕЯ также продемонстрировали возможность вредоносных атак на программы для анализа тональности текста и вопросно-ответные системы, которые я описала выше. Как правило, при таких атаках в тексте меняется несколько слов или появляется дополнительное предложение. “Вредоносные” изменения не влияют на смысл текста для человека, но заставляют систему давать неверный ответ. Так, исследователи ОЕЯ из Стэнфорда показали, что при добавлении определенных простых предложений к фрагментам из теста SQuAD даже лучшие системы выдают неверные ответы, тем самым значительно снижая свои показатели. Вот пример из теста SQuAD, который я приводила выше, но с добавленным незначимым предложением (здесь выделено курсивом для ясности). Такое добавление заставляет вопросно-ответную систему, основанную на глубоком обучении, давать неверный ответ[312]:

Важно отметить, что все эти методы обмана глубоких нейронных сетей разработаны “светлыми хакерами” – исследователями, которые находят подобные уязвимости и публикуют результаты своих экспериментов в открытых источниках, чтобы сообщить коллегам о проблемах и стимулировать создание защитных механизмов. С другой стороны, “темные хакеры”, которые действительно пытаются обмануть работающие системы со злым умыслом, не сообщают о своих методах, а потому вполне возможно, что существует и множество других уязвимостей, но мы о них еще не знаем. Насколько мне известно, пока не совершалось ни одной реальной атаки на подобные системы глубокого обучения, но рано или поздно мы о них услышим.

Хотя глубокое обучение привело к значительному прогрессу в распознавании речи, машинном переводе, анализе тональности текста и других областях ОЕЯ, до обработки языка на человеческом уровне еще очень далеко. Профессор Стэнфорда и корифей ОЕЯ Кристофер Мэннинг сказал об этом в 2017 году: “Пока использование глубокого обучения в сфере более высоких уровней обработки языка не привело к такому существенному снижению частоты появления ошибок, как в сфере распознавания речи и распознавания объектов в компьютерном зрении… Значительные сдвиги стали возможны лишь в сфере обработки сигналов”[313].