Des chercheurs trompent la vue d’une machine et pointent ses failles

Une équipe de chercheurs de Google Brain et d’OpenAI se sont activés à démontrer qu’il était possible de tromper la vue d’une machine en lui soumettant des images modifiées.

Guerre de précision entre l’Homme et la machine

C’est de bonne guerre. Alors qu’une intelligence artificielle parvenait pour la première fois à tromper l’ouïe de l’Homme, c’est au tour du camp humain de riposter en trompant la vue d’une IA.

Comme le rapporte Popular Science, la quête de la tromperie des machines est tout sauf inédite. Cela fait déjà des années que les scientifiques et hackers s’amusent à retourner les IA contre elles-mêmes en abusant de leur facultés pour le moins… limitées. Rappelez-vous le déluge de vidéos montrant des gens abuser l’intelligence de leur assistant personnel avec des commandes vocales, notamment lors de la sortie de Siri, qui pour sa défense, se montrait beaucoup plus coriace que ses homologues, dont l’efficacité n’est même pas comparable avec celle d’un enfant de 3 ans.

Ces nouveaux résultats de travaux ont été publiés encore une fois par une équipe conjointe entre deux chercheurs de Google Brain et un de OpenAI. Les deux entreprises avaient déjà collaboré pour accoucher d’une liste des cinq défis majeurs à relever pour que l’IA ne soit pas complètement inefficace voire dangereuse. Cette fois, ce sont Samy Bengio et Alexey Kurakin pour Google Brain, et Ian J. Goodfellow pour OpenAI qui se sont démenés pour tromper la machine et mettre au jour ses failles.

Aujourd’hui, le web est infesté de bots, présents presque partout sous toutes les formes. Ils servent à analyser des textes, comme le nouvel algorithme DeepText de Facebook, à recoloriser de vielles photos ou bien encore à assister les avocats dans leur argumentaire juridique.

Mais selon les auteurs du papier de recherche, malgré des percées significatives dans le traitement des images, des sons et du langage, notamment grâce à la recherche en deep learning, il est encore trop facile de berner un programme informatique, pour des hackers et informaticiens expérimentés comme pour de simples internautes. On se souvient notamment de l’épisode du chatbot de Microsoft, TayTweets, converti au nazisme et à l’homophobie en moins d’une journée après le travail de sape d’une poignée d’internautes sur le réseau social Twitter.

Tromperie organisée

Ils ont donc voulu prouver leur point de vue en le démontrant scientifiquement.

Les machines, aussi bien formées soient-elles, sont vulnérables à ce que l’on appelle des exemples « antagonistes ». Très simplement, il s’agit d’éléments de données qui ont été légèrement altérés pour justement tromper le système de classification d’une machine. Le but, vous le comprendrez, n’est pas d’exploiter ces failles pour l’amusement mais pour les mettre en évidence, les comprendre et ainsi mieux les combler à l’avenir. L’intérêt étant donc d’affiner les capacités de traitement d’images, de sons ou de gestes y compris pour les modifications les plus subtiles. Autrement des personnes malintentionnées pourraient profiter de ces dysfonctionnements pour dévier la machine de son objectif. Car, selon les chercheurs, ces « modifications peuvent être si subtiles qu’un observateur humain ne saurait pas même les percevoir« .

« Le but de cet article est de montrer que même dans le monde physique, les systèmes de machine learning sont vulnérables à ces exemples antagonistes » expliquent les chercheurs en introduction. D’après eux, une grande partie de la recherche actuelle dans le domaine s’est concentrée à nourrir directement les systèmes de classement de mauvaises informations. Ce qu’ils montrent, c’est qu’il est possible de le faire depuis l’extérieur même du programme. Cela pose évidemment de nouvelles interrogations sur la sécurité de ces systèmes, au delà même du hacking du programme informatique qui le régit. Car le vrai problème, c’est de voir de nouveaux pirates tromper la machine simplement en lui soumettant des informations erronées dans le monde physique. Comme le rapporte Popular Science, certains hackers se sont déjà amusés à pirater l’assistant personnel Google Now avec des commandes vocales incompréhensibles pour un humain mais qui le sont pour la machine. Cela revient à dire que quelqu’un peut facilement activer certaines fonctions de votre téléphone sans que vous vous en rendiez vraiment compte.

Pour étayer leur thèse, ils se sont attaqués à un type d’information précise : l’image. Les caméras sont les principaux capteurs d’informations d’une majorité de systèmes autonomes notamment. Ils ont donc pris de simples photos à l’aide de leur smartphone pour les implanter dans le classeur ImageNet Inception (un modèle de reconnaissance visuelle développé sur la plate-forme académique ImageNet par des équipes de Google), qui doit vérifier la précision de la reconnaissance. « Nous en concluons qu’une grande partie des exemples antagonistes est incorrectement classée lorsque perçue à travers le prisme de la caméra« .

Pour en arriver à cette conclusion, ils ont utilisé plusieurs points de comparaison. L’un consistait à soumettre une image source au classeur, l’autre à soumettre des images imprimées sur papier puis prises en photo. Et donc sans altération significative, puisque fondamentalement, il s’agissait de la même image.

Prochaine étape ? « Démontrer que des attaques utilisant d’autres types d’objets, contre différents types de systèmes informatiques, aussi fins soient-ils, et sans même s’attaquer aux paramètres et à l’architecture du modèle d’apprentissage, sont bel et bien possibles » concluent-ils.

Lien vers l’article de recherche.


Laisser un commentaire