Che cos’è il data poisoning? L’inquinamento dei dati può essere utilizzato per compromettere il lavoro dell’intelligenza artificiale e (teoricamente) anche per attentati terroristici. Gli algoritmi di machine learning hanno la straordinaria abilità di scovare correlazioni all’interno di sconfinati set di dati. Il problema è che, a differenza degli esseri umani, non possono integrare le loro scoperte sfruttando il principio di causalità o le relazioni logiche. E questa è una debolezza che può essere facilmente sfruttata contro l’intelligenza artificiale stessa.
Per esempio, se insegnaste a un algoritmo a riconoscere dei gatti sfruttando solo dei meme, il software potrebbe imparare – a causa della forte correlazione – che la parte testuale dei meme è un elemento del gatto. Viceversa, inserire un quadratino bianco all’interno di alcune foto che mostrano animali molto diversi tra loro, e poi chiedere che cosa sia presente nelle immagini, potrebbe indurre l’algoritmo a dare una sola risposta: è presente un quadratino bianco. Ancora: se tutte le immagini utilizzate per insegnare a un sistema di machine learning a distinguere i cani contenessero un determinato logo, l’intelligenza artificiale concluderebbe che ogni immagine con quel logo contiene un cane. Volendo, potrebbe imparare che quel logo è il cane.
Laddove l’essere umano sfrutta una varietà di elementi per comprendere il contesto di ciò che lo circonda – imparando così che il testo di un meme non può essere parte integrante dei gatti –, l’intelligenza artificiale rischia di restare vittima della sua capacità di individuare esclusivamente correlazioni. E poiché gli algoritmi di computer vision vengono utilizzati anche a scopi estremamente delicati, tutto ciò presenta dei rischi concreti. Un software incaricato di individuare il tumore della pelle – uno dei compiti che questi sistemi sanno svolgere meglio – ha per esempio diagnosticato melanomi in ogni foto in cui erano presenti le indicazioni relative alla scala dell’immagine riprodotta, a causa di un errore eseguito in fase di addestramento.
A presentare ulteriori rischi è il fenomeno noto come “data poisoning” (inquinamento dei dati), compiuto volontariamente da hacker esperti in intelligenza artificiale con gli obiettivi più disparati. Come mostra un’analisi pubblicata su TechTalk, è teoricamente possibile compromettere l’addestramento di un’auto autonoma e fare in modo che confonda, per esempio, un segnale di stop con un limite di velocità. Come già teorizzato in passato, queste vulnerabilità potrebbero essere sfruttate anche a fini terroristici.
Non è una missione semplice: per riuscire nell’impresa bisogna prima riuscire a intrufolarsi via internet nei programmi impiegati per l’addestramento delle intelligenze artificiali e poi riuscire a danneggiarne il database utilizzando il numero più basso possibile di elementi ingannevoli. Inoltre – come si legge sempre su TechTalks – “l’inquinamento dei dati tende a compromettere l’accuratezza del modello di machine learning preso di mira. Ciò potrebbe essere controproducente dal momento che i ricercatori si aspettano che un sistema di IA sia il più preciso possibile”.
Al di là delle difficoltà tecniche, il “data poisoning” pone problemi simili ai cosiddetti adversarial attack, in cui gli hacker individuano quali modifiche – impercettibili all’occhio umano – apportare a un’immagine o altro per confondere l’intelligenza artificiale. È la tecnica che sta dietro alle magliette che neutralizzano il riconoscimento facciale o agli adesivi che – se appiccicati a un cartello stradale – mandano in tilt le auto autonome.
In un mondo in cui questi strumenti sono utilizzati sempre più spesso e a scopi sempre più importanti e delicati, la possibilità anche solo teorica che degli hacker possano comprometterne radicalmente il funzionamento solleva non poche preoccupazioni. E infatti i ricercatori sono già all’opera per rendere più resistente il machine learning all’inquinamento dei dati e alle altre forme di “adversarial attack”. Ma qualunque soluzione si trovi, avrà sempre lo stesso limite: finché l’intelligenza artificiale continuerà a essere tutt’altro che intelligente, ingannarla sarà più semplice di quanto non si pensi.
Lascia un commento