Il y a un intérêt croissant pour l’utilisation de robots mobiles autonomes dans des environnements de travail ouverts tels que des installations de stockage, en particulier avec les contraintes présentées par la pandémie internationale. Et grâce aux progrès des algorithmes à connaissance approfondie et de la technologie des unités de détection, la robotique industrielle devient de plus en plus polyvalente et moins coûteuse.
La sûreté et la sécurité restent deux problèmes importants de la robotique. Et les méthodes actuelles utilisées pour répondre à ces deux préoccupations peuvent produire des résultats contradictoires, ont en fait constaté des chercheurs de l’Institute of Science and Technology Austria, du Massachusetts Institute of Innovation et de la Technische Universitat Wien, Autriche.
Sur le D’une part, les ingénieurs en intelligence artificielle doivent former leurs modèles à connaissance approfondie sur de nombreux exemples naturels pour s’assurer qu’ils fonctionnent en toute sécurité dans des conditions environnementales différentes. D’autre part, ils devraient former ces mêmes modèles sur des exemples contradictoires pour s’assurer que les étoiles nuisibles ne peuvent pas compromettre leur comportement avec des images contrôlées.
L’entraînement contradictoire peut avoir un impact significativement défavorable sur la sécurité de la robotique, le des scientifiques de l’IST Autriche, du MIT et de la TU Wien discutent dans un article intitulé «La formation contradictoire n’est pas préparée pour la connaissance robotique». Leur article, qui a été accepté lors de la Conférence internationale sur la robotique et l’automatisation (ICRA 2021), montre que le domaine nécessite de nouvelles méthodes pour améliorer la résistance à l’adversité dans les réseaux de neurones profonds utilisés en robotique sans minimiser leur précision et leur sécurité.
Formation contradictoire
Les réseaux de neurones profonds utilisent des cohérences analytiques dans les données pour effectuer des tâches de prévision ou de classification. Cela les rend très bons pour gérer les tâches de vision par ordinateur telles que la détection d’éléments. Cependant, le recours à des modèles statistiques rend également les réseaux de neurones sensibles aux exemples contradictoires.
Un exemple contradictoire est une image qui a en fait été discrètement personnalisée pour déclencher un modèle de connaissance profonde pour la classer de manière erronée. Cela se produit normalement en ajoutant une couche de son à une image typique. Chaque pixel de bruit modifie légèrement les valeurs numériques de l’image, suffisamment pour être invisible à l’œil humain. Lorsqu’elles sont incluses ensemble, les valeurs sonores interfèrent avec les modèles analytiques de l’image, ce qui déclenche alors un réseau de neurones pour l’erreur pour autre chose.
Des exemples contradictoires et des attaques se sont terminés étant un sujet de discussion brûlant lors de conférences sur l’intelligence artificielle et la sécurité. Et il est à craindre que les attaques contradictoires puissent devenir un problème de sécurité sérieux, car la connaissance approfondie devient plus importante dans les emplois physiques tels que la robotique et les voitures autonomes. Cependant, la gestion des vulnérabilités contradictoires reste une difficulté.
Parmi les techniques de défense les plus connues se trouve «l’entraînement à l’adversité», une procédure qui affine un modèle de connaissance approfondie préalablement formé sur des exemples contradictoires. Dans l’entraînement contradictoire, un programme génère un ensemble d’exemples contradictoires qui sont mal classés par un réseau de neurones cible. Le réseau neuronal est ensuite réentraîné sur ces exemples et leurs étiquettes correctes. Le réglage fin du réseau de neurones sur de nombreux exemples contradictoires le rendra plus robuste contre les attaques contradictoires.
L’entraînement contradictoire entraîne une légère baisse de la précision des prévisions d’un modèle à connaissance approfondie. Mais la dégradation est considérée comme un compromis acceptable pour la ténacité qu’elle offre contre les attaques adverses.
Dans les applications de robotique, néanmoins, l’entraînement contradictoire peut provoquer des effets indésirables indésirables.
« Dans une grande beaucoup de littérature sur la connaissance approfondie, l’apprentissage automatique et l’intelligence artificielle, nous voyons souvent des affirmations selon lesquelles « les réseaux de neurones ne sont pas sûrs pour la robotique car ils sont sensibles aux attaques contradictoires » pour valider une toute nouvelle approche de vérification ou de formation contradictoire « , Mathias Lechner, doctorat stagiaire à IST Autriche et auteur principal de l’article, a déclaré à L’Entrepreneur dans des commentaires écrits. « Bien qu’intuitivement, de telles affirmations semblent correctes, ces ‘approches de robustification’ ne sont pas gratuites, mais avec une perte de capacité du modèle ou de précision (de base) propre. »
Lechner et les autres co-auteurs du papier voulait vérifier si le compromis de précision propre / robuste dans l’entraînement antagoniste est constamment validé en robotique. Ils ont découvert que si la pratique améliore la résistance à l’adversité des modèles de connaissance approfondie dans les tâches de classification basées sur la vision, elle peut introduire des profils d’erreur uniques dans la connaissance des robots.
Formation contradictoire aux applications robotiques
Indiquez que vous avez un réseau neuronal convolutif qualifié et que vous souhaitez l’utiliser pour catégoriser un grand nombre d’images stockées dans un dossier. Si le réseau de neurones est bien formé, il classera la plupart d’entre eux correctement et peut en avoir quelques-uns faux.
Maintenant, pensez à ce que quelqu’un insère deux douzaines d’exemples contradictoires dans le dossier images. Un acteur destructeur a intentionnellement manipulé ces images pour amener le réseau neuronal à les classer de manière erronée. Un réseau neuronal typique tomberait sous le piège et offrirait une sortie incorrecte. Cependant, un réseau de neurones qui a subi un entraînement contradictoire classera la majorité d’entre eux correctement. Cela pourrait néanmoins voir une baisse d’efficacité mineure et mal classer quelques-unes des autres images.
Dans les emplois de catégorie statique, où chaque image d’entrée est indépendante des autres, cette baisse de performance est très peu problématique car tant que les erreurs ne se produisent pas trop souvent. Cependant, dans les applications robotiques, la conception à connaissance approfondie interagit avec un environnement dynamique. Les images introduites dans le réseau neuronal étaient disponibles dans des séquences continues qui dépendent les unes des autres. À son tour, le robot manipule physiquement son environnement.
« En robotique, il importe« où »les erreurs se produisent, par rapport à la vision du système informatique qui concerne principalement la quantité d’erreurs, « Dit Lechner.
Par exemple, pensez à 2 réseaux de neurones, A et B, chacun avec un taux d’erreur de 5%. D’un point de vue purement conscient, les deux réseaux sont également excellents. Dans une tâche robotique, où le réseau fonctionne en boucle et effectue un certain nombre de prévisions par seconde, un réseau peut surpasser l’autre. Par exemple, les erreurs du réseau A peuvent se produire sporadiquement, ce qui ne sera pas très gênant. En revanche, le réseau B peut commettre plusieurs erreurs consécutives et déclencher le crash du robot. Alors que les deux réseaux de neurones ont des taux d’erreur égaux, l’un est sûr et l’autre non.
Un autre problème avec les mesures d’évaluation traditionnelles est qu’ils ne déterminent que la variété des erreurs de classification inexactes introduites par l’entraînement contradictoire et ne représentent des marges d’erreur.
« En robotique, il importe de savoir combien d’erreurs s’écartent de leurs prévisions appropriées », déclare Lechner. « Par exemple, disons que notre réseau classifie à tort un camion en tant qu’automobile ou en tant que piéton. D’un point de vue purement conscient, les deux circonstances sont considérées comme des erreurs de classification, mais du point de vue de la robotique, la classification erronée en tant que piéton pourrait avoir des répercussions bien pires que la classification erronée en tant que véhicule. «
Erreurs déclenchées par un entraînement antagoniste
Les scientifiques ont découvert que« l’entraînement à la sécurité de domaine », un type plus général d’entraînement antagoniste, présente trois types d’erreurs dans réseaux de neurones utilisés en robotique: systémiques, à court terme et conditionnels.
Les erreurs à court terme provoquent des changements inattendus dans la précision du réseau de neurones. Les erreurs conditionnelles entraîneront une différence entre la conception à connaissance approfondie et la vérité terrain à des endroits particuliers. Et les erreurs systémiques créent des changements à l’échelle du domaine dans la précision de la conception. Les trois types d’erreurs peuvent entraîner des menaces pour la sécurité.
Pour tester l’effet de leurs découvertes, les scientifiques ont produit un robot spéculatif censé surveiller son environnement, vérifié les commandes gestuelles et marchez sans rencontrer d’obstacles. Le robot utilise deux réseaux de neurones. Un réseau neuronal convolutif trouve des commandes gestuelles via une entrée vidéo provenant d’une caméra vidéo connectée à l’avant du robot. Un deuxième réseau de neurones traite les données provenant d’une unité de détection lidar installée sur le robot et envoie des commandes au moteur et au système de direction.
Les chercheurs ont vérifié le neuronal de traitement vidéo réseau avec trois niveaux différents de formation antagoniste. Leurs résultats révèlent que la précision ordonnée du réseau neuronal diminue considérablement à mesure que le niveau d’entraînement contradictoire augmente. « Nos résultats montrent que les techniques de formation existantes sont incapables d’appliquer une robustesse antagoniste non triviale sur un classificateur d’images dans un contexte de connaissance robotique », écrivent les chercheurs.
« Nous avons observé que notre réseau de vision formé de manière adverse se comporte en fait à l’opposé de ce que nous considérons généralement comme «robuste» », déclare Lechner. « Par exemple, il a allumé et éteint sporadiquement le robot sans aucune commande claire de l’opérateur humain pour le faire. Dans le meilleur des cas, ces habitudes sont frustrantes, dans le pire des cas, cela fait planter le robot. »
Le réseau de neurones basé sur lidar n’a pas subi de formation antagoniste, mais il a été formé pour être plus sûr et éviter que le robot ne progresse s’il y avait un élément sur son chemin. Le réseau neuronal était donc trop défensif et empêchait des scénarios bénins tels que des couloirs étroits.
« Pour le réseau expérimenté standard, le même couloir étroit n’était pas un problème », a déclaré Lechner. « De plus, nous n’avons jamais observé le réseau standard formé pour planter le robot, ce qui remet en question à nouveau la raison pour laquelle nous faisons l’entraînement contradictoire au premier endroit. »
Travaux futurs sur l’efficacité de la confrontation
« Nos contributions théoriques, bien que limitées, recommandent que l’entraînement à la confrontation repondère fondamentalement l’importance des différentes parties du domaine des données », déclare Lechner, ajoutant que pour se débarrasser de les effets secondaires défavorables des techniques d’entraînement antagonistes, les scientifiques doivent d’abord reconnaître que la robustesse antagoniste est un objectif secondaire, et qu’une précision de base élevée devrait être l’objectif principal dans de nombreuses applications.
L’apprentissage automatique contradictoire reste un domaine d’étude de recherche actif. Les scientifiques de l’IA ont développé diverses méthodes pour protéger les modèles d’apprentissage automatique contre les attaques adverses, notamment des architectures inspirées des neurosciences, des approches de généralisation modale et des changements aléatoires entre divers réseaux de neurones. Le temps nous dira si l’une de ces approches ou de futures approches deviendra la norme d’or de la résistance à l’adversité.
Un problème plus essentiel, également vérifié par Lechner et ses co-auteurs, est l’absence de causalité dans les systèmes d’apprentissage automatique. . Tant que les réseaux de neurones se concentrent sur l’apprentissage de modèles analytiques superficiels de l’information, ils resteront vulnérables à divers types d’attaques contradictoires. L’apprentissage des représentations causales peut être le secret pour sécuriser les réseaux de neurones par rapport aux attaques contradictoires. La découverte des représentations causales en elle-même est une difficulté majeure et les chercheurs essaient toujours de trouver comment la résoudre.
« Le manque de causalité est la façon dont les vulnérabilités contradictoires se retrouvent dans le réseau au tout premier emplacement », Dit Lechner. « Donc, trouver de meilleures structures causales aidera certainement à la robustesse à l’adversité. »
« Néanmoins », ajoute-t-il, « nous pouvons être confrontés à une situation où nous devons décider entre un modèle causal avec moins de précision et un grand réseau standard. Le dilemme que notre article explique doit également être abordé lorsque l’on examine les méthodes du domaine de connaissance causale. «
.
