Tecnologia Científica

Algoritmo ajuda os sistemas de inteligência artificial a evitar entradas 'adversárias'
O método baseia-se em técnicas de jogo para ajudar os veículos autônomos a navegar no mundo real, onde os sinais podem ser imperfeitos.
Por Jennifer Chu - 10/03/2021


Um algoritmo de aprendizado profundo desenvolvido por pesquisadores do MIT é projetado para ajudar as máquinas a navegar no mundo real. Em testes com o videogame Pong, os pesquisadores introduziram um “adversário” que puxou a bola um pouco mais para baixo do que realmente estava. Créditos: Imagem: Jose-Luis Olivares, MIT

Em um mundo perfeito, o que você vê é o que você obtém. Se fosse esse o caso, o trabalho dos sistemas de inteligência artificial seria renovadoramente simples.

Considere os sistemas anticolisão em carros autônomos. Se a entrada visual das câmeras a bordo pudesse ser totalmente confiável, um sistema de IA poderia mapear diretamente essa entrada para uma ação apropriada - vire à direita, vire à esquerda ou continue em frente - para evitar atingir um pedestre que suas câmeras veem na estrada.

Mas e se houver uma falha nas câmeras que desloca levemente uma imagem em alguns pixels? Se o carro confiasse cegamente nas chamadas “contribuições adversárias”, ele poderia tomar medidas desnecessárias e potencialmente perigosas.

Um novo algoritmo de aprendizagem profunda desenvolvido por pesquisadores do MIT é projetado para ajudar as máquinas a navegar no mundo real e imperfeito, criando um “ceticismo” saudável em relação às medições e informações que recebem.

A equipe combinou um algoritmo de aprendizado por reforço com uma rede neural profunda, ambos usados ​​separadamente para treinar computadores em jogos de videogame como Go e xadrez, para construir uma abordagem que eles chamam de CARRL, para Certified Adversarial Robustness for Deep Reinforcement Learning.

Os pesquisadores testaram a abordagem em vários cenários, incluindo um teste simulado de prevenção de colisão e o videogame Pong, e descobriram que o CARRL teve um desempenho melhor - evitando colisões e ganhando mais jogos Pong - do que as técnicas de aprendizado de máquina padrão, mesmo em face de incertezas , entradas adversárias.

“Muitas vezes você pensa que um adversário é alguém que está hackeando seu computador, mas também pode ser apenas que seus sensores não são bons ou suas medições não são perfeitas, o que costuma ser o caso”, diz Michael Everett, pós-doutorado no MIT's Departamento de Aeronáutica e Astronáutica (AeroAstro). “Nossa abordagem ajuda a contabilizar essa imperfeição e tomar uma decisão segura. Em qualquer domínio crítico de segurança, esta é uma abordagem importante para se pensar. ”

Everett é o autor principal de um estudo que descreve a nova abordagem, que aparece no IEEE's Transactions on Neural Networks and Learning Systems . O estudo se originou da tese de mestrado do aluno de doutorado do MIT Björn Lütjens e foi orientado pelo professor Jonathan How do MIT AeroAstro.

Realidades possíveis

Para tornar os sistemas de IA robustos contra entradas adversárias, os pesquisadores tentaram implementar defesas para aprendizagem supervisionada. Tradicionalmente, uma rede neural é treinada para associar rótulos ou ações específicas a determinadas entradas. Por exemplo, uma rede neural que é alimentada por milhares de imagens rotuladas como gatos, junto com imagens rotuladas como casas e cachorros-quentes, deve rotular corretamente uma nova imagem como um gato.

Em sistemas robustos de IA, as mesmas técnicas de aprendizado supervisionado podem ser testadas com muitas versões ligeiramente alteradas da imagem. Se a rede cair no mesmo rótulo - gato - para cada imagem, há uma boa chance de que, alterada ou não, a imagem seja realmente de um gato, e a rede seja robusta a qualquer influência adversária.

Mas executar todas as alterações de imagem possíveis é computacionalmente exaustivo e difícil de aplicar com sucesso a tarefas urgentes, como evitar colisões. Além disso, os métodos existentes também não identificam qual rótulo usar, ou que ação tomar, se a rede for menos robusta e rotular algumas imagens de gato alteradas como uma casa ou cachorro-quente.

“Para usar redes neurais em cenários críticos para a segurança, tivemos que descobrir como tomar decisões em tempo real com base nas suposições do pior caso sobre essas possíveis realidades”, diz Lütjens.

A melhor recompensa

Em vez disso, a equipe procurou construir o aprendizado por reforço, outra forma de aprendizado de máquina que não exige a associação de entradas rotuladas com saídas, mas visa reforçar certas ações em resposta a certas entradas, com base em uma recompensa resultante. Essa abordagem é normalmente usada para treinar computadores para jogar e ganhar jogos como xadrez e Go.

A aprendizagem por reforço tem sido aplicada principalmente a situações em que as entradas são consideradas verdadeiras. Everett e seus colegas dizem que são os primeiros a trazer “robustez certificável” para dados incertos e adversários na aprendizagem por reforço.

Sua abordagem, CARRL, usa um algoritmo de aprendizado de reforço profundo existente para treinar uma rede Q profunda, ou DQN - uma rede neural com várias camadas que, em última análise, associa uma entrada a um valor Q ou nível de recompensa.

A abordagem usa uma entrada, como uma imagem com um único ponto, e considera uma influência adversária ou uma região ao redor do ponto onde ela realmente poderia estar. Cada posição possível do ponto dentro desta região é alimentada por um DQN para encontrar uma ação associada que resultaria na melhor recompensa de pior caso, com base em uma técnica desenvolvida pela recente estudante graduada do MIT Tsui-Wei “Lily” Weng PhD ' 20

Um mundo adversário

Em testes com o videogame Pong, em que dois jogadores operam os remos em cada lado de uma tela para passar a bola para frente e para trás, os pesquisadores introduziram um “adversário” que puxou a bola um pouco mais para baixo do que realmente estava. Eles descobriram que o CARRL ganhava mais jogos do que as técnicas padrão, à medida que a influência do adversário aumentava.

“Se sabemos que não se deve confiar exatamente em uma medição e que a bola pode estar em qualquer lugar dentro de uma determinada região, então nossa abordagem diz ao computador que ele deve colocar a raquete no meio dessa região, para garantir que acertemos o bola mesmo no pior caso de desvio ”, diz Everett.

O método foi similarmente robusto em testes de prevenção de colisão, onde a equipe simulou um agente azul e um laranja tentando trocar de posição sem colidir. Enquanto a equipe perturbava a observação do agente laranja sobre a posição do agente azul, o CARRL conduziu o agente laranja ao redor do outro agente, afastando-se mais à medida que o adversário ficava mais forte e a posição do agente azul ficava mais incerta.

Chegou um ponto em que CARRL se tornou muito conservador, fazendo com que o agente laranja presumisse que o outro agente poderia estar em qualquer lugar em sua vizinhança e, em resposta, evitar completamente seu destino. Esse conservadorismo extremo é útil, diz Everett, porque os pesquisadores podem então usá-lo como um limite para ajustar a robustez do algoritmo. Por exemplo, o algoritmo pode considerar um desvio menor, ou região de incerteza, que ainda permitiria a um agente obter uma alta recompensa e chegar ao seu destino.

Além de superar os sensores imperfeitos, Everett diz que o CARRL pode ser um começo para ajudar os robôs a lidar com interações imprevisíveis no mundo real com segurança.

“As pessoas podem ser adversárias, como ficar na frente de um robô para bloquear seus sensores, ou interagir com eles, não necessariamente com as melhores intenções”, diz Everett. “Como um robô pode pensar em todas as coisas que as pessoas podem tentar fazer e tentar evitá-las? Contra que tipo de modelos adversários queremos nos defender? Isso é algo que estamos pensando em como fazer. ”

Esta pesquisa foi apoiada, em parte, pela Ford Motor Company como parte da Ford-MIT Alliance.

 

.
.

Leia mais a seguir