「EmTechデジタル」でイアン・グッドフェロー博士は、機械学習システムを誤認識させるような細工をしたデータを用いた攻撃の可能性を指摘し、こうした攻撃を見抜くために同博士の考案した「競争式生成ネットワーク（GANs）」は有効であると語った。 by Jackie Snow 2018.03.29

人工知能（AI）システムは、実際にはそこにないものを見てしまうことがある。以前にグーグルのソフトウェアが、3Dプリントの亀をライフルと「認識」してしまったことがある。安全性が重要なシステムにAI技術が幅広く導入されるためには、こうした誤認識を防ぐための手段が不可欠になる。たとえば、自動運転車に使用されるコンピューター・ビジョン・ソフトウェアでは、誤認識は事故に直結しかねない。

3月27日にサンフランシスコで開催されたMITテクノロジーレビュー主催の年次カンファレンス「EmTechデジタル」で、グーグル・ブレイン（Google Brain）の研究者イアン・グッドフェロー博士は、こうした誤認識からAIシステムをどのようにして守るのかについて語った。

グッドフェロー博士は「競争式生成ネットワーク（GANs）」を考案した人物として有名だ。GANsはAI技術の1つであり、同じデータセットで訓練した2つのネットワークを使う。生成モデル（generator）と呼ばれる一方のネットワークは合成データを作成する。通常は画像を作成する。その一方で、識別モデル（discriminator）と呼ばれるもう一方のネットワークは、生成モデルが作った画像が本物かどうかを判断する。グッドフェロー博士はさまざまな研究者たちがGANsを使ってどのような研究をしているのか、およそ1ダースの事例を丹念に調べた。そして、現在もっとも興味を抱いている研究対象に焦点をあてた。それは、機械学習システムがそもそも間違いを犯さないようにすることだ。グッドフェロー博士は、オペレーティング・システムなどの従来のテクノロジーでは防御機能は後に追加されたが、機械学習で同じ轍を踏みたくなかったという。

「AIが多くのことに使われるようになる前に、できる限り安全なものにしたいのです」。

GANs はリアルな「敵対事例（システムを誤認識させるように細工した事例：adversarial example）」を作るのを得意とする。このことは結局は、AIシステムを訓練して堅牢な防御機能を持たせるために非常に良い方法なのだ。システムが見抜かなければならない敵対事例を使って訓練されれば、敵対事例による攻撃を、よりうまく見抜けるようになる。敵対事例が優れたものであればあるほど、防御機能はより強固になる。

グッドフェロー博士は、こうした懸念は今のところ理論上のものであり、敵対事例がコンピューター・ビジョン・システムを欺くのに使われた事例はまだ聞いたことがないと述べている。しかし、ボットやスパム発信者などは、同様の手法を使って合法的なトラフィックに見せかけることで目的を達成しようとしている。

幸運なことに、AIを利用する攻撃からシステムを防御するための準備の時間はまだあるとグッドフェロー博士はいう。

「機械学習は現時点では、攻撃に利用できるほど優れてはいません」。