Sztuczna inteligencja nadal zawodzi przy solidnym ręcznym rozpoznawaniu cyfr (i jak to naprawić)

Pochwalono głębokie uczenie się, aby rozwiązać wszystko, od samochodów samojezdnych po klimat na świecie. A jednak głębokie sieci neuronowe (koń roboczy głębokiego uczenia) nie są w stanie w zadowalający sposób rozwiązać nawet najbardziej przyziemnych zadań: solidnego ręcznego rozpoznawania cyfr. Rozważ następujące przykłady:

„Normalne” obrazy są doskonale klasyfikowane, ale…

Liczba pod każdą cyfrą pokazuje prognozę sieci. Prawidłowo klasyfikuje wszystkie te próbki. Więc w czym problem? Rozważ następujące obrazy:

… Drobne modyfikacje mogą całkowicie wykoleić decyzje sieciowe.

Zmodyfikowaliśmy nieco obrazy, ale teraz sieć neuronowa źle je klasyfikuje. Tego rodzaju „przeciwne” dane wejściowe są znane od wielu lat. Wpływają one zasadniczo na każdą aplikację Deep Learning, od rozpoznawania obiektów, semantycznej segmentacji obrazów, rozpoznawania mowy po filtrowanie spamu. Problem dotyczy prawie każdej obecnie wdrożonej sieci neuronowej i może zostać zaatakowany (w tym np. Siri lub Amazon Echo).

Ale staje się jeszcze gorzej: rozważ następujący zestaw obrazów:

Te obrazy są klasyfikowane z dużą pewnością jako „zera” przez sieć neuronową.

Czy rozpoznajesz nawet podpowiedź odręcznej cyfry? Nie? Sieć neuronowa jest bardzo pewna, że ​​wszystkie są zerami. Te tak zwane nierozpoznawalne obrazy podkreślają tylko kolejny problem z dzisiejszymi sieciami neuronowymi: zachowują się całkowicie nieregularnie, jeśli dane wejściowe są zbyt daleko od „normalnych” danych (w tym przypadku szum zamiast cyfr).

Ten problem niezawodności został uznany przez wielu za jeden z głównych bloków drogi do wdrożenia Deep Learning. Nie tylko ze względów bezpieczeństwa, ale dlatego, że te awarie podkreślają, że nie mamy pojęcia, jak naprawdę działają sieci neuronowe i jakich funkcji obrazu używają do klasyfikacji. Liczba prac próbujących rozwiązać ten problem znacznie wzrosła w ciągu ostatnich dwóch lat, ale jak dotąd bezskutecznie. W rzeczywistości sieć neuronowa, której użyliśmy do klasyfikacji powyższych odręcznych cyfr, jest obecnie uznawana za najbardziej niezawodny model (Madry i in.). Fakt ten podkreśla, jak daleko jesteśmy od niezawodnych modeli rozpoznawania - nawet w przypadku prostych odręcznych cyfr.

W naszym ostatnim artykule przedstawiamy nową koncepcję solidnego klasyfikowania obrazów. Pomysł jest bardzo prosty: jeśli obraz jest sklasyfikowany jako siódmy, powinien zawierać mniej więcej dwie linie - jedną krótszą, drugą dłuższą - które stykają się ze sobą na jednym końcu. Jest to generatywny sposób myślenia o cyfrach, co jest dość naturalne dla ludzi i pozwala nam łatwo dostrzec sygnał (linie) nawet przy dużych ilościach hałasu i zakłóceń. Posiadanie takiego modelu powinno ułatwić zaklasyfikowanie przedstawionych powyżej przykładów przeciwników do odpowiedniej klasy. Uczenie się generatywnego modelu cyfr (powiedzmy zer) jest dość proste (przy użyciu Autoencodera wariacyjnego) i, w skrócie, działa w następujący sposób: zaczynamy od ukrytej przestrzeni uciążliwych zmiennych (które mogą uchwycić rzeczy takie jak grubość lub pochylenie cyfry i są wyciągane z danych) i generują obraz za pomocą sieci neuronowej. Następnie pokazujemy przykłady odręcznych zer i trenujemy sieć, aby wytwarzała podobne. Pod koniec szkolenia sieć dowiedziała się o naturalnych odmianach odręcznych zer:

Generatywny model zer uczy się typowych odmian cyfr odręcznych (prawa strona).

Uczymy się takiego generatywnego modelu dla każdej cyfry. Następnie, gdy pojawi się nowe wejście, sprawdzamy, który model cyfrowy najlepiej odpowiada nowemu wprowadzeniu. Ta procedura jest zwykle nazywana analizą przez syntezę, ponieważ analizujemy zawartość obrazu zgodnie z modelem, który może go najlepiej zsyntetyzować. Z drugiej strony standardowe sieci feedforward nie mają mechanizmów sprzężenia zwrotnego, które sprawdzałyby, czy obraz wejściowy naprawdę przypomina wywnioskowaną klasę:

Sieci feedforward przechodzą bezpośrednio z obrazu do klasy i nie mają możliwości sprawdzenia, czy klasyfikacja ma sens. Nasz model analizy według syntezy sprawdza, jakie cechy obrazu są obecne i klasyfikuje według tego, która klasa ma największy sens.

To naprawdę kluczowa różnica: sieci feedforward nie mają możliwości sprawdzenia swoich prognoz, musisz im zaufać. Z drugiej strony nasz model analizy po syntezie sprawdza, czy pewne cechy obrazu są rzeczywiście obecne w danych wejściowych przed wyciągnięciem wniosku.

Nie potrzebujemy idealnego modelu generatywnego do działania tej procedury. Nasz model cyfr odręcznych z pewnością nie jest idealny: spójrz na rozmyte krawędzie. Niemniej jednak nasz model może klasyfikować ręcznie pisane cyfry z dużą dokładnością (99,0%), a jego decyzje mają dla ludzi wiele sensu. Na przykład model zawsze będzie sygnalizował niski poziom pewności obrazów szumowych, ponieważ nie wyglądają jak żadna z cyfr, które widział wcześniej. Obrazy najbliższe szumowi, które model analizy przez syntezę nadal klasyfikuje jako cyfry o wysokiej pewności, mają wiele sensu dla ludzi:

Próbowaliśmy zsyntetyzować nierozpoznawalne obrazy, które nadal są klasyfikowane jako zera z dużą pewnością przez nasz model analizy według syntezy. To jest najlepsze co mamy.

W obecnym, najnowocześniejszym modelu Madry i in. stwierdziliśmy, że minimalne zakłócenia czystych cyfr są często wystarczające do wykreślenia klasyfikacji modelu. Postępowanie tak samo w przypadku naszego modelu analizy według syntezy daje uderzająco różne wyniki:

Przykłady przeciwne dla modelu analizy według syntezy. Czy potrafisz zgadnąć, jaki był oryginalny numer?

Należy pamiętać, że zaburzenia mają dla ludzi wiele sensu i czasem trudno jest zdecydować, do której klasy obraz należy sklasyfikować. Właśnie tego oczekujemy od solidnego modelu klasyfikacji.

Nasz model ma kilka innych godnych uwagi funkcji. Na przykład decyzje modelu analizy według syntezy są znacznie łatwiejsze do interpretacji, ponieważ można bezpośrednio zobaczyć, które cechy przechylają model w kierunku konkretnej decyzji. Ponadto możemy nawet ustalić pewne niższe granice jego odporności.

Model analizy przez syntezę nie do końca pasuje do ludzkiej percepcji i przed nami jeszcze długa droga (zobacz pełną analizę w naszym manuskrypcie). Niemniej jednak uważamy, że wyniki te są niezwykle zachęcające i mamy nadzieję, że nasza praca utoruje drogę do nowej klasy modeli klasyfikacji, które są dokładne, solidne i interpretowalne. Nadal musimy się wiele dowiedzieć o tych nowych modelach, a przede wszystkim o tym, jak uczynić wnioskowanie bardziej wydajnym i jak skalować je do bardziej złożonych zestawów danych (takich jak CIFAR lub ImageNet). Ciężko pracujemy, aby odpowiedzieć na te pytania i czekamy na dalsze wyniki w przyszłości.

W kierunku pierwszego niezawodnie odpornego modelu sieci neuronowej na MNIST

Lukas Schott, Jonas Rauber, Matthias Bethge, Wieland Brendel
arXiv: 1805.09190