Op de CCC in Leipzig heeft Katharine Jarmul, die zich bezighoudt met softwareontwikkeling en data science, ervoor gepleit dat het voor de gek houden van ai ook voor 'juiste' doeleinden ingezet kan worden, zoals het zich onttrekken aan surveillance.
Tijdens haar CCC-presentatie ging Jarmul in op adversarial machine learning, waarbij een neuraal netwerk misleid kan worden om iets verkeerd of juist helemaal niet te identificeren of detecteren. Volgens haar zijn er momenteel voldoende toepassingen, zoals het maken van malware die niet door machine learning wordt herkend of het voor de gek houden van zelfrijdende auto's. Afhankelijk van een ieders opvatting zijn er echter ook 'goede' toepassingen denkbaar, bijvoorbeeld ontkomen aan surveillance of poisoning van eigen data bij een bedrijf dat gegevens als businessmodel ziet.
Als voorbeeld paste ze een foto van zichzelf zodanig aan dat deze uiteindelijk niet meer door Facebook als mens werd herkend, maar voor het menselijk oog nog wel als zijzelf te herkennen was. Dit deed ze door gebruik te maken van beschikbare opensourcetools zoals cleverhans of DeepFool en zonder te weten welk machinelearningmodel Facebook toepast voor afbeeldingen. Dit voorbeeld droeg Jarmul bovendien aan als demonstratie dat het niet nodig is om te weten welke methode door een dienst wordt toegepast, wat ook wel wordt aangeduid als 'black box'.
Tijdens de presentatie greep ze terug op onderzoek dat al op het gebied van adversarial machine learning was verricht. Hoewel er al een en ander over is gepubliceerd, stelt Jarmul dat nog niet volledig duidelijk is waarom ai soms 'blinde vlekken' vertoont als het gaat om detectie en identificatie. Een recent voorbeeld is onderzoek van MIT waarbij wetenschappers een neuraal netwerk konden laten concluderen dat een 3d-geprinte schildpad een geweer moest voorstellen. Dit was mogelijk ongeacht de hoek waarin het object werd 'bekeken' en leidde onder meer tot de classificatie van een baseball als een espresso.
Dat aanvallen op zogenaamde 'zwarte dozen' werken, is ook te zien in recenter MIT-onderzoek waarin wetenschappers de Cloud Vision-api van Google voor de gek hielden. Dit deden ze zonder uitvoerige informatie over de waarnemingen van het achterliggende neurale netwerk. Daarbij gebruikten ze minder queries dan soortgelijke aanvallen en pasten ze een nieuw algoritme toe om een afbeelding aan te passen. Op die manier waren ze bijvoorbeeld in staat om een foto van twee skiërs als hond te laten classificeren.
Jarmul stelt dat dit soort black box-onderzoek belangrijk is om te begrijpen welke technieken door bedrijven worden gebruikt. Andere toepassingen van adversarial machine learning ziet ze bijvoorbeeld voor het voor de gek houden van adware en het ontwikkelen van een variant van steganografie voor onderlinge communicatie. Tweakers publiceerde onlangs een artikel over de werking van neurale netwerken.