Jag beundrar de som kom på det här potentiella missbruket av neurala nätverk. Det är lite tekniskt skrivet, men jag förstår det ungefär så här:
Träningsdelen av machine learningen tar otroligt lång tid. Det gör det frestande att outsourca den. Om man gör det får man se upp eftersom det går att introducera annan data än den avsedda i träningen.
Det exempel som ges gäller igenkänning av trafikmärken. Jag tänker mig att det är tillämpligt för en självkörande bil. Tänk att man ska träna nätverket att känna igen trafikmärken, och när man får tillbaka nätverket funkar det bra för att känna igen alla trafikmärken.
Det är bara det att man förutom de riktiga trafikmärkena har tränat nätverket med ett modifierat stopp-märke. Stopp-märket har ett litet klistermärke på sig, och med klistermärket så tolkar neuralnätet det i stället som att det är ett hastighetsmärke (tänk 120 km/h...).
I praktiken skulle det här kunna betyda att den som känner till svagheten i träningen skulle kunna sätta upp klistermärken på verkliga stopp-märken ute i trafiken, och på så sätt lura den självkörande bilen att skena...
Lömskt.
Här är hela abstractet. Intressant.
BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain
Tianyu Gu, Brendan Dolan-Gavitt, Siddharth Garg
Deep learning-based techniques have achieved state-of-the-art performance on a wide variety of recognition and classification tasks. However, these networks are typically computationally expensive to train, requiring weeks of computation on many GPUs; as a result, many users outsource the training procedure to the cloud or rely on pre-trained models that are then fine-tuned for a specific task. In this paper we show that outsourced training introduces new security risks: an adversary can create a maliciously trained network (a backdoored neural network, or a \emph{BadNet}) that has state-of-the-art performance on the user's training and validation samples, but behaves badly on specific attacker-chosen inputs. We first explore the properties of BadNets in a toy example, by creating a backdoored handwritten digit classifier. Next, we demonstrate backdoors in a more realistic scenario by creating a U.S. street sign classifier that identifies stop signs as speed limits when a special sticker is added to the stop sign; we then show in addition that the backdoor in our US street sign detector can persist even if the network is later retrained for another task and cause a drop in accuracy of {25}\% on average when the backdoor trigger is present. These results demonstrate that backdoors in neural networks are both powerful and---because the behavior of neural networks is difficult to explicate---stealthy. This work provides motivation for further research into techniques for verifying and inspecting neural networks, just as we have developed tools for verifying and debugging software.
/Simon
Recent Comments