Solving adversarial examples requires solving exponential misalignment

Die Studie zeigt, dass die exponentielle Dimensionalität der von neuronalen Netzen wahrgenommenen Konstruktionsräume im Vergleich zu menschlichen Konzepten eine fundamentale Fehlausrichtung darstellt, die als Hauptursache für adversarial examples gilt und nur durch eine Angleichung dieser Dimensionen überwunden werden kann.

Das Wesentliche

Das große Missverständnis: Warum KI so leicht zu täuschen ist

Stell dir vor, du und ein Computer schauen auf ein Foto von einer Katze.

• Du siehst eine Katze. Du bist dir sicher.
• Der Computer sieht auch eine Katze. Aber er ist sich so sicher, dass er fast jede andere Sache auf der Welt – sogar ein Bild von statischem Rauschen oder einem Hund – auch als Katze erkennt, solange man es nur ein klein wenig verändert.

Das ist das Problem der sogenannten „adversarial examples" (Gegenspieler-Beispiele): Winzige, für das menschliche Auge unsichtbare Veränderungen täuschen die KI, aber nicht uns.

Die Autoren dieses Papers haben nun herausgefunden, warum das passiert. Es liegt nicht an einem Fehler im Code, sondern daran, dass KI und Menschen die Welt völlig unterschiedlich „sehen" – und zwar in einer Dimension, die wir uns kaum vorstellen können.

Die Analogie: Der riesige Ballon vs. die kleine Perle

Stell dir den Raum aller möglichen Bilder als einen riesigen, leeren Raum vor.

1. Die menschliche Wahrnehmung (Die Perle):
   Wenn du an das Konzept „Katze" denkst, stellst du dir eine sehr spezifische, kleine Gruppe von Bildern vor. Es sind Bilder, die wirklich wie Katzen aussehen. In diesem riesigen Raum nimmt diese Gruppe nur einen winzigen Punkt oder eine kleine Perle ein. Sie ist sehr „kompakt" und hat eine niedrige Dimension (im Papier wird sie als etwa 20-dimensional beschrieben). Das ist wie ein kleiner, dichter Ball aus echten Katzenbildern.

2. Die KI-Wahrnehmung (Der riesige Ballon):
   Die KI hat ein völlig anderes Verständnis von „Katze". Für die KI ist der Bereich, der als „Katze" gilt, ein riesiger, aufgeblähter Ballon, der fast den gesamten Raum ausfüllt. Dieser Ballon ist extrem dünn und weit verzweigt (im Papier sind es über 3000 Dimensionen).

   • Das Problem: Weil dieser KI-Ballon so riesig ist, füllt er fast den ganzen Raum aus.
   • Die Folge: Egal wo du im Raum stehst (ob du ein Bild eines Hundes, eines Flugzeugs oder nur statisches Rauschen hast), du bist immer extrem nah an diesem riesigen KI-Ballon. Du musst nur einen winzigen Schritt machen (eine winzige Veränderung des Bildes), um vom „Hund" in den „Katzen-Ballon" zu springen.

Warum ist das so schlimm? (Der „Fluch" der hohen Dimensionen)

Das Papier nennt dies exponentielle Fehlausrichtung.

• Bei uns Menschen: Der Abstand zwischen einem echten Hund und einer echten Katze ist groß. Man muss viel ändern, um eine Katze in einen Hund zu verwandeln.
• Bei der KI: Da ihr „Katzen-Ballon" so riesig ist, ist jeder Punkt im Universum der Bilder fast schon eine Katze. Ein Angriff (Adversarial Example) ist für die KI so einfach wie ein kleiner Schritt, weil sie quasi überall ist.

Die Autoren sagen: Solange die KI-Ballons so riesig sind, können wir die KI nicht wirklich robust machen. Wir können sie nicht zwingen, nur echte Katzen zu sehen, solange ihr „Verständnisraum" so riesig und verschwommen bleibt.

Was haben die Forscher bewiesen?

Sie haben 18 verschiedene KI-Modelle untersucht, von sehr schwachen bis zu den aktuell besten, robustesten Modellen.

1. Der Zusammenhang: Je robuster eine KI ist (also je schwerer sie zu täuschen ist), desto kleiner wird ihr „Ballon" (die Dimension ihres Verständnisses).
2. Die Hoffnung: Die besten Modelle haben ihre Ballons schon etwas zusammengequetscht. In diesen Modellen beginnen die Bilder, die die KI als „Katze" sieht, wieder wie echte Katzen auszusehen (statt wie Rauschen).
3. Die Realität: Aber selbst die allerbesten Modelle sind immer noch viel größer und „verbreiteter" als das menschliche Verständnis. Sie sind immer noch exponentiell falsch ausgerichtet.

Die Lektion für die Zukunft

Um KI wirklich sicher und robust zu machen, reicht es nicht, sie einfach nur mit mehr Daten zu füttern oder sie gegen Angriffe zu trainieren. Wir müssen die KI zwingen, die Welt so kompakt zu sehen wie wir Menschen.

Wir müssen die KI dazu bringen, ihre riesigen, aufgeblähten Ballons zu entleeren und sie in kleine, dichte Perlen zu verwandeln. Erst wenn die KI und der Mensch ihre „Verständnisräume" (Dimensionen) auf die gleiche Größe gebracht haben, werden die KI-Systeme wirklich sicher gegen Täuschungen sein.

Kurz gesagt: KI ist nicht dumm, sie ist nur zu „weitläufig" in ihrer Vorstellung. Sie sieht zu viel als „Katze", als dass sie eine echte Katze sicher erkennen könnte. Wir müssen ihr helfen, ihren Blick zu schärfen und den Raum zu verkleinern.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Solving adversarial examples requires solving exponential misalignment" auf Deutsch:

1. Problemstellung

Das Paper adressiert das anhaltende Problem der adversariellen Beispiele in neuronalen Netzen: Eingabedaten, die für Menschen kaum wahrnehmbare Störungen enthalten, aber dazu führen, dass KI-Modelle falsche Klassifikationen mit hoher Sicherheit treffen. Trotz eines Jahrzehnts an Forschung bleibt die Robustheit von neuronalen Netzen weit hinter der menschlichen Wahrnehmung zurück.

Die zentrale Frage ist: Warum existieren adversarielle Beispiele? Bisherige Theorien (z. B. lokale Linearität, nicht-robuste Merkmale, hohe Dimensionalität des Eingaberaums) haben keine vollständige Erklärung geliefert. Die Autoren argumentieren, dass das eigentliche Problem in einer fundamentalen geometrischen Fehlausrichtung (Misalignment) zwischen der menschlichen und der maschinellen Wahrnehmung liegt, die durch die exponentielle Dimensionalität der maschinellen Perzeptionsmanifolds verursacht wird.

2. Methodik und Rahmenwerk

A. Perzeptionsmanifold (Perceptual Manifold - PM)

Die Autoren definieren das Perzeptionsmanifold (PM) für ein Klassenkonzept $c$ als die Menge aller Eingaben $x$, die das Netzwerk mit hoher Sicherheit ($p(c|x) > p_0$, z. B. 0.9) dieser Klasse zuordnet.

• Ziel: Die Dimensionalität dieses PMs zu messen und mit der Dimensionalität natürlicher Bilder (die Menschen als diese Klasse klassifizieren würden) zu vergleichen.

B. Dimensionsmessung

Um die Dimensionalität der PMs zu quantifizieren, werden zwei Metriken verwendet:

1. Participation Ratio (PR): Basierend auf den Eigenwerten der Kovarianzmatrix der Stichproben. Sie misst die effektive Dimensionalität.
2. Two Nearest Neighbors (2NN): Eine Schätzung der intrinsischen Dimensionalität basierend auf den Abständen zwischen nächsten Nachbarn im Stichprobenraum.

C. Sampling-Verfahren

Da PMs nicht direkt zugänglich sind, werden sie durch Projected Gradient Ascent (PGA) gesampelt:

• Startpunkt: Zufälliges Rauschen im Eingaberaum.
• Prozess: Iteratives Ansteigen des Log-Wahrscheinlichkeitsgradienten für die Zielklasse, gefolgt von einer Projektion zurück in den gültigen Eingaberaum (z. B. $[0,1]^D$).
• Abbruch: Sobald die Konfidenzschwelle überschritten wird.

D. Theoretisches Modell

Die Autoren entwickeln ein vereinfachtes geometrisches Modell (ellipsoidale PMs in einem hochdimensionalen Raum), um den Zusammenhang zwischen der Dimensionalität $d$ des PMs und dem erwarteten Abstand eines zufälligen Punktes zum PM zu berechnen.

3. Wichtige Beiträge und Ergebnisse

A. Exponentielle Fehlausrichtung (Exponential Misalignment)

Die Kernentdeckung ist, dass die Dimensionalität der maschinellen PMs um Größenordnungen höher ist als die der natürlichen menschlichen Konzepte.

• Beispiel CIFAR-10: Natürliche Bilder haben eine intrinsische Dimension von ca. 20. Die PMs eines Standard-Netzes (WideResNet) füllen jedoch fast den gesamten Raum von 3072 Dimensionen aus (PR $\approx$ 3000).
• Beispiel CLIP & ImageNet: Auch bei großen Foundation-Modellen (CLIP) und hochauflösenden Daten (ImageNet, $D \approx 150.000$) ist das PM des Netzes extrem hochdimensional (PR $\ge$ 135.000), während natürliche Konzepte bei ca. 20 Dimensionen bleiben.
• Fazit: Es gibt exponentiell viele Eingaben, die das Netzwerk als eine Klasse (z. B. "Katze") sicher erkennt, die für Menschen jedoch als Rauschen oder eine andere Klasse erscheinen.

B. Geometrische Ursache für Adversarielle Beispiele

Die hohe Dimensionalität führt dazu, dass das PM fast den gesamten Eingaberaum ausfüllt.

• Geometrische Konsequenz: In einem hochdimensionalen Raum ist jeder beliebige Punkt (auch ein Bild einer anderen Klasse oder reines Rauschen) extrem nah an der Oberfläche des PMs.
• Theoretische Bestätigung: Das analytische Modell zeigt, dass der erwartete quadratische Abstand eines zufälligen Punktes zum PM linear mit der Dimensionalität $d$ abnimmt. Wenn $d$ nahe an der Gesamt-Dimension $D$ liegt, ist der Abstand vernachlässigbar klein, was adversarielle Angriffe fast unvermeidbar macht.

C. Korrelation zwischen Robustheit und Dimensionsreduktion

Die Autoren testen zwei Vorhersagen an 18 verschiedenen Modellen mit unterschiedlicher adversarieller Robustheit:

1. Robustere Modelle haben niedrigere PM-Dimensionen: Es gibt eine starke negative Korrelation zwischen der adversariellen Robustheit (Robust Accuracy) und der Dimensionalität des PMs. Je robuster das Modell, desto stärker wird das PM komprimiert.
2. Größerer Abstand bei niedrigerer Dimension: Der Abstand von zufälligem Rauschen zum PM nimmt mit sinkender Dimensionalität zu. Robuste Modelle sind daher "weiter weg" von zufälligen Eingaben.

D. Visuelle und spektrale Analyse

• Stichproben: Bei nicht-robusten Modellen sehen die aus dem PM gesampelten Bilder aus wie weißes Rauschen. Bei den robustesten Modellen beginnen die Stichproben, semantische Strukturen (erkennbare Objekte, Texturen) zu bilden, wenn die Dimensionalität nahe an die menschliche heranreicht.
• Spektrale Analyse: Die Kovarianzspektren robuster Modelle nähern sich zwar dem $1/f^2$-Verhalten natürlicher Bilder an, erreichen dieses aber nie vollständig. Die Eigenvektoren der PMs bleiben auch bei robusten Modellen stark von denen natürlicher Bilder unterschieden.

4. Signifikanz und Implikationen

• Neue Perspektive auf Alignment: Das Paper verbindet das Feld der Adversarial Robustness direkt mit dem Feld der AI Alignment. Es argumentiert, dass adversarielle Beispiele ein prototypisches "Warm-up"-Problem der Fehlausrichtung auf der Ebene der Wahrnehmung sind.
• Notwendigkeit der Dimensionsanpassung: Die Autoren schlussfolgern, dass adversarielle Robustheit nicht durch bloße Verteidigungsalgorithmen (wie reines Adversarial Training) erreicht werden kann, solange die exponentielle Fehlausrichtung besteht. Ein notwendiges (wenn auch nicht hinreichendes) Kriterium ist die dimensionale Ausrichtung der maschinellen PMs mit den menschlichen PMs.
• Warnung für die allgemeine AI-Sicherheit: Wenn es so schwierig ist, die Dimensionalität der Wahrnehmungsmannigfaltigkeiten für Bilder zu reduzieren, ist die Aufgabe, KI-Verhalten über einen exponentiell großen Raum von Text- und Eingabedaten mit menschlichen Werten in Einklang zu bringen, noch weitaus schwieriger.
• Lösungsansatz: Zukünftige Forschung sollte sich darauf konzentrieren, Trainingsmethoden zu entwickeln, die die intrinsische Dimensionalität der Perzeptionsmanifolds drastisch reduzieren, um sie an die menschliche Wahrnehmung anzupassen.

Zusammenfassend stellt das Paper fest, dass die Fluch der hohen Dimensionalität der maschinellen Perzeptionsmanifolds die Hauptursache für die Existenz und Persistenz adversarieller Beispiele ist und dass deren Lösung eine fundamentale geometrische Neuausrichtung erfordert.