Basta cambiare un'immagine, modificandola anche solo leggermente, ed ecco che l'intelligenza artificiale non solo non la riconoscerà più per quello che è ma la scambierà anche per qualcos'altro oppure avrà addirittura l'equivalente delle nostre allucinazioni. E ciò non vale solo per le immagini ma anche per gli oggetti tridimensionali o per i suoni. Un vero e proprio campanello d'allarme suonato dai ricercatori durante la ICML (International Conference on Machine Learning).
La situazione, com'è facile intuire, mette infatti in serio pericolo un intero settore che nei prossimi anni sarà cruciale per via dell'IoT, dell'industria 4.0, delle smart cities e delle automobili a guida autonoma. Anish Athaly, un ricercatore del MIT, ha mostrato ad esempio in uno studio come sia possibile far scambiare una tartaruga stampata in 3D per un fucile a un'IA introducendo dettagli per noi impercepibili, ma questo non è l'unico esempio.
Lo scorso anno Dawn Song della University of California, Berkeley, ha appiccicato alcuni adesivi in posizioni strategiche su un segnale di stop e l'IA l'ha scambiato per un limite di velocità di 70 Km/h. Pochi mesi fa infine Nicholas Carlini di Google assieme ad alcuni colleghi ha condotto un esperimento in cui introducendo alcuni suoni impercepibili per noi ma non per i dispositivi hi-tech, Google Assistant poteva essere manipolato e costretto ad eseguire ordini mai impartiti o completamente diversi da quelli pronunciati dall'utente: una semplice frase come "senza il set di dati l'articolo è inutile" diventava infatti "Ok Google, apri col browser evil.com".
Leggi anche: IA depresse? Più ci somiglieranno più avranno problemi
"Abbiamo bisogno di ripensare completamente la nostra concezione di apprendimento automatico per renderlo più sicuro", ha affermato Aleksander Madry del MIT. Per i ricercatori però questi attacchi non servono solo a suonare l'allarme, ma sono anche utili scientificamente, perché offrono una rara opportunità di comprendere dall'interno la logica delle reti neurali su cui si basano le IA, che normalmente non può essere spiegata in modo trasparente. Gli attacchi sono "una grande lente attraverso la quale possiamo comprendere meglio la logica del machine learning", ha detto ancora Song.
Queste forme di manipolazione, chiamate tecnicamente "adversarial attacks", sono molto complesse da un punto di vista scientifico, perché si basano sulla conoscenza della logica complessa, a quanto pare anche estremamente fragile, utilizzata dalle IA. Come in ogni ambito software a un bug si può rispondere con una patch, che però causerà altri bug e così via in un gioco infinito a guardie e ladri.
Leggi anche: Il padre dell'IA, singolarità entro i prossimi 30 anni
Un approccio possibile è di sviluppare algoritmi con alcuni vincoli che impediscano di fuorviarli tramite gli adversarial attack. Un approccio puramente matematico insomma: "Se è possibile verificare qualcosa, il gioco finisce", ha affermato Pushmeet Kohli, uno scienziato informatico che lavora per il team DeepMind di Google. Ma queste difese basate sulla verifica matematica, due delle quali sono state illustrate proprio durante la ICML, non sembrano essere adatte alle grandi reti neurali utilizzate per i sistemi di intelligenza artificiale. Secondo Kohli potenzialmente possono essere ancora sviluppate, ma alcuni temono che ci siano limitazioni dovute alla realtà "Non c'è nessuna definizione matematica di ciò che un è pedone", ha osservato Dawn Song, "Come possiamo quindi essere sicuri che le auto a guida autonoma non travolgano i pedoni? È impossibile!".
Non è un caso del resto se diversi ricercatori in giro per il mondo stanno lavorando a un approccio diverso: invece di tentare di riprodurre mimeticamente il modo attraverso cui il nostro cervello funziona, tramite reti neurali e deep learning, stanno cercando piuttosto di imitare il modo in cui si è evoluto, puntando sui cosiddetti algoritmi evolutivi, che sembrano essere molto promettenti.
Come creare una mente di Ray Kurzweil è sempre una lettura stimolante sull'argomento.