Изкуственият интелект бързо се превръща в определящата технология на нашето време, но начинът, по който са изградени някои инструменти на изкуствения интелект, остава дълбоко спорен. В света на генерирането на изображения с изкуствен интелект, алгоритмите често работят върху милиарди извлечени изображения, понякога много от които са направени от художници, които никога не са дали съгласието си. За художниците, които прекарват години в усъвършенстване и създаване на свой собствен отличителен стил, изкуственият интелект може да се усеща като пряк конкурент или дори, като крадец.

В полза на творците, нова тактика набира скорост в средите на дигиталното изкуство: отравяне на данните, които захранват системите с изкуствен интелект. Два инструмента, Nightshade и Glaze, се очертават като вид алгоритмична защита. Разработени в Чикагския университет, тези инструменти за машинно обучение с враждебна система са предназначени да объркат генеративните модели на изкуствения интелект (ИИ).

Война с пиксели и алгоритми

Идеята за „борба“ срещу ИИ, използваща враждебни данни, не е нова. През 2017 г. студентска група в MIT илюстрира как алгоритмите на ИИ могат да бъдат „подлъгани“ да идентифицират погрешно обекти. Те показаха как враждебна атака, променяща само няколко пиксела, може да обърка ИИ.

Разбира се, повечето хора не са обучени в машинно обучение. Ето защо появата на лесни за използване инструменти стана толкова популярна.

Инструментът Glaze действа защитно. По същество работи като мантия, като фино модифицира пикселите на изображението, така че макар промените да са незабележими за хората зрители, моделите с изкуствен интелект го възприемат като притежаващо различен стил. Тази техника обърква моделите с изкуствен интелект, които се опитват да научат и възпроизведат уникалния стил на художника. Glaze прилага „стилово наметало“, ефективно замъглявайки основните модели и характеристики, които определят отличителния визуален език на художника.

Прикритията, необходими за предотвратяване на кражбата на стила от изкуствен интелект, са различни за всяко изображение. Инструментът за прикриване, работещ локално на вашия компютър, ще „изчисли“ необходимото прикриване, като се има предвид оригиналното изображение и целевият стил.

Инструментът Nightshade играе в нападение. Той не само крие стила, но и „трови“ съдържанието. Той извършва по-сложна версия на атака, като прави фини промени в изображението, които не биха били очевидни за човешкото око.

Използва се техника, наречена многоцелева оптимизация, която леко коригира пикселите на изображението, така че когато изкуствения интелект кодира изображението по време на обучение, вътрешното представяне получава напълно различен етикет. Например, отровено изображение на цвете може да има изместено вътрешно представяне, така че обучаващият се модел да мисли, че става въпрос за кола. Отровното изображение се сдвоява с оригиналния си (правилен) етикет в набора от данни (напр. „цвете“), но вътрешните характеристики на изображението сега приличат на нещо друго (напр. „кола“). Това създава несъответствие между визуалните характеристики и текстовите етикети в обучителния набор. Когато достатъчно от тези отровени примери са включени в обучението, моделът изгражда неточни асоциации, което води до изкривени, безсмислени резултати.

Тази „отрова“ може също да се разпространи и е доказано, че Nightshade произвежда ефекти, които се пренасят между подобни модели. Отравянето на един дифузионен модел може също да повреди свързани модели, тъй като те често споделят архитектура или източници на данни. Това по същество причинява ефект на „проникване“: Отравянето на един елемент (напр. „куче“) може да повреди свързани елементи (като „кученце“ или „голден ретривър“) поради семантично припокриване в картографирането на езика и образа на ИИ.

Целта е данните за обучение да бъдат достатъчно ненадеждни, така че компаниите да са принудени да преосмислят методите си (или да плащат за неотровени данни). Дори ако отравянето не разруши напълно моделите, то увеличава разходите за обучение и само това би могло да промени начина на разработването на ИИ.

Nightshade работи подобно на Glaze, но вместо защита срещу стилова имитация, той е проектиран като инструмент за нападение, който изкривява представянето на характеристики в генеративни модели на изображения с изкуствен интелект. Докато човешките очи виждат изображение, което е до голяма степен непроменено от оригинала, моделът с изкуствен интелект вижда драстично различна композиция в изображението.

Чрез инжектиране на достатъчен брой от тези „отровени“ изображения в обучителния набор от данни, творците се стремят да увеличат изчислителните разходи и ресурсите, необходими на разработчиците на ИИ за обучение на техните модели върху нелицензирани данни. Ако ИИ бъде обучен с отровени данни, получените модели могат да покажат непредсказуеми и безсмислени резултати.

Както Glaze, така и Nightshade са проектирани да бъдат стабилни и устойчиви на често срещани техники на ИИ като изрязване, компресия или повторно семплиране. Но тази битка далеч не е едностранчива.

Разработчиците на изкуствен интелект вече проучват контрамерки. Те включват почистване на набори от данни с филтри или използване на инструменти за откриване на аномалии. Най-често срещаните алгоритми изглежда не са в състояние да се преборят с Nightshade, но вероятно е в ход надпревара във въоръжаването и нови инструменти може да имат по-добри възможности.

От гледна точка на творците, отравянето на данни може да се разглежда като форма на дигитална самозащита, необходим отговор на широко разпространената практика компаниите за изкуствен интелект да обучават своите модели върху произведения на изкуството, защитени с авторски права, без съгласие или компенсация. Това е асиметрична борба. Творците, често работещи самостоятелно и без институционална подкрепа, се изправят срещу някои от най-мощните компании за изкуствен интелект в света. Но за разлика от съдебните дела или протестните писма, отравянето засяга единственото нещо, от което тези компании зависят най-много: данните.

Отравянето се опитва да покаже източникът на голяма част от данните на ИИ: неплатеният, непризнат труд на милиони създатели.

Това обаче може да доведе до ескалираща надпревара във въоръжаването, с непредсказуеми последици за цялостната сигурност и надеждност на системите с изкуствен интелект. Някои критици твърдят, че умишленото повреждане на данните за обучение може да има непредвидени отрицателни последици за цялостното качество и надеждност на моделите с изкуствен интелект, потенциално засягайки различни сектори, които разчитат на тези технологии.

Не е ясно дали отравянето на данни ще стане често срещано явление. Също толкова несигурно е как кариерите на творците в крайна сметка ще бъдат засегнати от тези развития в дългосрочен план. И все пак в основата си проблемът е познат. Технологиите се развиват по-бързо, отколкото ние като общество можем да решим как да ги използваме.

Има и по-тъмна страна на всичко това. Техниките за отравяне, макар и в момента насочени към защита на произведения на изкуството, на теория биха могли да бъдат използвани злонамерено. Това, което започна като защита срещу кражба на произведения на изкуството, би могло, в грешни ръце, да се използва за повреждане на набори от данни в критични области като здравеопазване или финанси, където провалът на изкуствения интелект би могъл да има реални последици. Отровените данни биха могли да повлияят на медицинската диагностика или да дезинформират автономните превозни средства. В свят, който все повече разчита на машинното обучение, това е голям проблем.