Formal Reasoning About Confidence and Automated Verification of Neural Networks

Cet article propose un cadre unifié pour vérifier formellement la robustesse et la confiance des réseaux de neurones en ajoutant des couches spécifiques qui permettent d'utiliser des outils de vérification existants sur une large gamme de spécifications et de modèles à grande échelle.

L'essentiel

🛡️ Les Réseaux de Neurones et leur "Confiance" : Une Nouvelle Manière de Vérifier la Sécurité

Imaginez que vous avez construit un super-chef cuisinier robot (un réseau de neurones) capable de reconnaître des images. Si vous lui montrez une photo de chat, il dit "C'est un chat !". Mais si vous changez un tout petit peu la photo (un pixel ici, un pixel là), il pourrait paniquer et dire "C'est un chien !". C'est ce qu'on appelle un exemple adversaire.

Le problème, c'est que les méthodes actuelles pour vérifier si ce robot est sûr sont un peu trop rigides. Elles disent : "Si le robot se trompe une seule fois, même d'un tout petit peu, c'est un échec total !"

Les auteurs de ce papier disent : "Attendez une minute !".

1. Le Problème : La Confiance est la Clé

Dans la vraie vie, nous ne sommes pas toujours sûrs à 100 %.

• Scénario A : Le robot voit un chat. Il dit "C'est un chat" avec 99 % de confiance. Vous lui faites une petite modification, il dit "C'est un chien" avec 1 % de confiance.

  • L'ancienne méthode : "Oh non ! Il s'est trompé ! Le robot est dangereux !"
  • La nouvelle méthode : "Attends, il a presque dit 'je ne sais pas' (1 %). C'est un cas limite, pas une catastrophe."

• Scénario B : Le robot voit un chat. Il dit "C'est un chat" avec 99 % de confiance. Vous faites une petite modification, il dit toujours "C'est un chat", mais sa confiance chute à 20 %.

  • L'ancienne méthode : "Super ! Il a toujours dit 'chat', donc c'est bon."
  • La nouvelle méthode : "Hé ! Il est devenu très hésitant. C'est dangereux, car il pourrait se tromper la prochaine fois."

Les chercheurs veulent donc vérifier non seulement ce que le robot répond, mais à quel point il est sûr de sa réponse.

2. La Solution : Le "Vestiaire" Magique (La Grammaire)

Pour vérifier toutes ces situations complexes (confiance, top-3 choix, etc.), il faut un langage commun. Les auteurs ont créé une grammaire (une sorte de recette universelle) qui permet d'écrire n'importe quelle règle de sécurité, qu'elle soit simple ou très compliquée.

C'est comme si vous aviez un menu de restaurant où vous pouviez commander :

• "Je veux que le robot ne se trompe jamais." (Règle stricte)
• "Je veux que s'il se trompe, il soit très confus (faible confiance)." (Règle relaxée)
• "Je veux que ses 3 meilleurs choix restent les mêmes." (Règle Top-K)

3. Le Défi Technique : Traduire le "Langage Humain" en "Langage Robot"

Le gros problème, c'est que les outils de vérification actuels (les "policiers" qui testent les robots) sont très bêtes. Ils ne comprennent que des règles très simples du type : "Si A > B, alors OK". Ils ne comprennent pas les phrases compliquées avec des "ET", des "OU" et des calculs de probabilité (comme la fonction softmax qui calcule la confiance).

Habituellement, pour vérifier une règle complexe, il faut modifier le code du policier (ce qui est long, risqué et impossible si le code est privé).

4. L'Innovation Géniale : Ajouter des "Couches" au Robot

Au lieu de modifier le policier, les auteurs ont une idée de génie : ils modifient le robot lui-même.

Imaginez que vous devez vérifier si un étudiant a bien compris une leçon complexe. Au lieu de changer l'examen, vous ajoutez un petit assistant à la fin de la classe de l'étudiant.

• Cet assistant prend la réponse de l'étudiant.
• Il fait un petit calcul rapide (en ajoutant quelques "couches" de neurones supplémentaires).
• Il transforme la réponse complexe en un signal simple (un feu vert ou un feu rouge).

L'analogie du "Traducteur" :
Les auteurs ajoutent un petit module à la fin du réseau de neurones qui agit comme un traducteur.

1. Il prend la règle complexe (ex: "La confiance doit être > 80% OU le choix doit être le même").
2. Il la transforme en une règle ultra-simple (ex: "Le résultat final doit être positif").
3. Il attache ce traducteur au robot.

Maintenant, n'importe quel outil de vérification standard peut vérifier le robot, car pour lui, la règle est devenue simple. C'est comme si vous aviez ajouté un filtre à votre caméra : au lieu de demander à l'ordinateur de comprendre la photo en 3D, vous lui montrez juste une photo en noir et blanc qu'il comprend parfaitement.

5. Les Résultats : Plus Rapide et Plus Puissant

Les chercheurs ont testé cette méthode sur 8 870 cas différents, avec des robots très gros (jusqu'à 138 millions de paramètres !).

• Résultat : Leur méthode est beaucoup plus rapide que les anciennes méthodes qui tentaient de coder les règles directement dans les outils de vérification.
• Avantage : Elle fonctionne avec les meilleurs outils du monde (comme αβ-CROWN) sans avoir besoin de les modifier.
• Découverte : Ils ont pu vérifier des choses qu'on ne pouvait pas vérifier avant, comme la "robustesse top-k" (vérifier que les 3 meilleurs choix du robot ne changent pas, même si le premier choix change).

En Résumé

Ce papier propose une astuce intelligente : au lieu de forcer les outils de sécurité à devenir plus intelligents pour comprendre des règles complexes, on transforme le robot pour qu'il parle un langage simple.

C'est comme ajouter un traducteur automatique à votre voiture autonome. Au lieu de reprogrammer tout le moteur pour qu'il comprenne les nuances de la conduite, vous lui donnez un petit écran qui lui dit juste "Tourne à gauche" ou "Ne tourne pas", basé sur des règles complexes que vous avez définies. Cela rend la vérification de la sécurité plus rapide, plus flexible et accessible à tous.

Résumé technique

1. Problématique

Les réseaux de neurones sont de plus en plus utilisés dans des applications critiques (véhicules autonomes, diagnostic médical), mais ils sont vulnérables aux exemples contradictoires (adversarial examples), où de légères perturbations d'entrée entraînent des erreurs de classification.

La littérature actuelle sur la vérification de robustesse se concentre principalement sur la robustesse locale standard : vérifier si la classe prédite reste inchangée sous une perturbation bornée. Cependant, cette approche présente deux limites majeures :

1. Ignorance de la confiance : Elle traite la sortie du classifieur comme binaire (vrai/faux), ignorant la probabilité (confiance) associée à la prédiction calculée par la fonction softmax. Une erreur avec une très faible confiance est traitée de la même manière qu'une erreur avec une très haute confiance.
2. Complexité de codage : Les propriétés de robustesse avancées (incluant la confiance, la robustesse forte, la top-k, etc.) impliquent des combinaisons booléennes complexes de contraintes linéaires et non linéaires (exponentielles via le softmax). Les outils de vérification d'état de l'art (comme $\alpha\beta$-CROWN ou Marabou) sont optimisés pour des post-conditions simplifiées (conjonctions ou disjonctions simples). Adapter manuellement le code de ces outils pour chaque nouvelle propriété est difficile, coûteux et souvent impossible pour les outils propriétaires.

2. Méthodologie

Les auteurs proposent un cadre unifié pour raisonner formellement sur la confiance et la robustesse, composé de trois piliers principaux :

A. Grammaire de spécification généralisée

Ils définissent une grammaire expressive capable de capturer diverses variantes de robustesse :

• Robustesse relaxée : Ignore les contre-exemples à faible confiance.
• Robustesse forte : Exige que la confiance ne chute pas drastiquement, même si la classe reste la même.
• Robustesse Top-k : Exige que les $k$ meilleures prédictions restent dans l'ensemble des $k$ meilleures sous perturbation.
• Lissité (Smoothness) : Bornes sur la variation de la confiance.

Cette grammaire combine des contraintes linéaires (LE) et des contraintes de confiance (CC) via des combinaisons booléennes (PC).

B. Approximation de la fonction Softmax

La fonction de confiance (Softmax) est non linéaire (exponentielle) et difficile à vérifier directement.

• Les auteurs proposent une approximation linéaire (LRA - Linear Real Arithmetic) avec des garanties formelles sur l'erreur.
• Ils dérivent des bornes inférieures et supérieures pour la confiance en fonction de l'écart entre le logit de la classe cible et le logit maximal des autres classes.
• Cette approximation transforme les contraintes de confiance en contraintes linéaires rationnelles, rendant le problème compatible avec les solveurs existants.

C. Technique d'encodage par couches supplémentaires (Layer-based Encoding)

C'est la contribution centrale pour l'automatisation. Au lieu de modifier le code interne des vérificateurs, les auteurs proposent d'ajouter des couches artificielles à la fin du réseau de neurones original.

• Principe : La post-condition complexe (la propriété à vérifier) est encodée comme un circuit logique utilisant des fonctions d'activation ReLU.
• Mécanisme :
  • Les opérations booléennes (ET, OU) sont simulées par des combinaisons de ReLU et de sommes.
  • Une technique novatrice de "flip" (retournement) permet de gérer l'asymétrie entre les conjonctions (où 0 est vrai) et les disjonctions (où >0 est vrai) sans explosion combinatoire (contrairement à la forme normale disjonctive DNF).
  • Le réseau modifié $N'$ produit une sortie unique $y$. La vérification se réduit alors à une condition simple : vérifier si $y < \eta$ (ou $y > \eta$).
• Avantage : Cette méthode permet d'utiliser n'importe quel vérificateur d'état de l'art (comme $\alpha\beta$-CROWN) comme une "boîte noire", sans modification de leur code source.

3. Contributions Clés

1. Cadre unifié : Définition d'une grammaire unique couvrant la robustesse standard, relaxée, forte, top-k et lissité, intégrant explicitement la notion de confiance.
2. Approximation formelle : Une méthode pour approximer le Softmax en contraintes linéaires avec des bornes d'erreur garanties, permettant l'analyse de la confiance.
3. Encodage générique : Une technique pour transformer n'importe quelle propriété de la grammaire en un réseau de neurones augmenté (avec quelques couches ReLU), rendant la vérification compatible avec les outils actuels.
4. Évaluation à grande échelle : Une validation expérimentale sur 8 870 benchmarks provenant de la compétition VNN-COMP, couvrant des réseaux de la taille de 0,51K à 13,16M d'unités d'activation (jusqu'à 138M de paramètres).

4. Résultats Expérimentaux

Les expériences ont été menées sur les datasets MNIST, CIFAR-10, GTSRB et ImageNet-1K, en utilisant les solveurs Marabou (basé sur les contraintes) et $\alpha\beta$-CROWN (basé sur les bornes et les attaques PGD).

• Performance : La méthode par couches ajoutées sur $\alpha\beta$-CROWN surpasse significativement les approches d'encodage ad-hoc (codage direct des contraintes) utilisées avec Marabou.
• Évolutivité : La méthode permet de vérifier des propriétés complexes sur de très grands réseaux (jusqu'à 138M de paramètres) là où les encodages directs échouent souvent par manque de mémoire ou de temps.
• Efficacité : L'approche réduit le taux de dépassement de temps (timeout) et permet de résoudre un plus grand nombre de cas, en particulier pour les variantes de robustesse relaxée et top-k.
• Observations sur la confiance : L'analyse montre que pour certains réseaux (comme ceux de GTSRB), une confiance de 100% sur les images originales ne garantit pas la sécurité, car les contre-exemples peuvent aussi avoir une confiance très élevée, révélant des vulnérabilités critiques.

5. Signification et Impact

Ce travail est significatif car il comble le fossé entre la théorie de la vérification formelle et les besoins pratiques de l'industrie pour des réseaux de neurones plus sûrs et interprétables.

• Démocratisation de la vérification : En permettant d'utiliser les meilleurs solveurs existants sans les modifier, la méthode rend les vérifications de propriétés complexes accessibles à tous les utilisateurs.
• Nuance dans la sécurité : Elle introduit une notion de "robustesse nuancée" où la confiance joue un rôle central. Une erreur à faible confiance peut être considérée comme acceptable dans certains contextes de sécurité, ce qui est plus réaliste que la binaire "sûr/insûr".
• Fondation pour l'avenir : La technique d'ajout de couches pour encoder des propriétés logiques ouvre la voie à la vérification de spécifications encore plus riches (ex: exigences de sécurité complexes, contraintes de domaine) dans les systèmes cyber-physiques.

En résumé, l'article propose une solution élégante et efficace pour étendre les capacités de vérification des réseaux de neurones au-delà de la simple robustesse de classe, en intégrant la confiance de manière formelle et automatisée.