Robust Adversarial Quantification via Conflict-Aware Evidential Deep Learning

Il paper presenta C-EDL, un approccio post-hoc leggero per l'incertezza che, sfruttando trasformazioni diversificate e la misurazione del disaccordo rappresentazionale, migliora significativamente la robustezza e la rilevazione di dati fuori distribuzione o avversari nei modelli di Deep Learning Evidenziale senza richiedere un nuovo addestramento.

L'essenziale

🛡️ Il "Detective" che non si fida troppo: C-EDL

Immagina di avere un super-intelligenza artificiale (come un medico o un pilota automatico) che deve prendere decisioni importanti. Questo AI è stato addestrato su milioni di foto di gatti e cani. È bravissimo a riconoscere i gatti e i cani che ha visto durante l'addestramento.

Ma cosa succede se gli mostri:

1. Un cane vestito da gatto (un attacco avversario)?
2. Una foto di un'auto (un dato fuori distribuzione)?

Il problema è che l'AI classica, anche se sbaglia, spesso è troppo sicura di sé. Dice: "Sono al 99% sicuro che questa auto sia un gatto!" e questo è pericoloso.

Gli scienziati di questo paper hanno creato un nuovo metodo chiamato C-EDL (Conflict-aware Evidential Deep Learning). Ecco come funziona, usando delle metafore semplici.

---

1. Il Problema: L'AI "Testarda"

Immagina che l'AI sia uno studente molto intelligente ma un po' testardo. Se gli chiedi di riconoscere un'immagine, guarda la foto una sola volta, fa un calcolo veloce e ti dà la risposta.

• Se la foto è normale (un gatto), va bene.
• Se la foto è stata modificata da un hacker per ingannarlo (un attacco avversario), lo studente testardo guarda la foto, vede un dettaglio ingannevole e dice: "È un gatto! Ne sono sicuro al 100%!"
• Il problema è che non sa quando non sa. Non ammette mai di essere confuso.

2. La Soluzione: Il "Comitato di Esperti" (C-EDL)

Il metodo C-EDL non cambia lo studente (l'AI), ma cambia come gli facciamo fare la domanda. Invece di fargli guardare la foto una sola volta, gli diciamo:

"Aspetta! Prima di rispondere, immagina questa foto in 5 modi diversi: ruotala un po', spostala, mettile un po' di rumore come se fosse una vecchia TV."

Questo è il primo passo: Generare diverse visioni.

• Se la foto è un vero gatto, anche se la ruoti o la sposti, lo studente dirà sempre: "È un gatto". Tutti sono d'accordo.
• Se la foto è un'auto travestita da gatto (o un'auto vera), quando la ruoti o la sposti, lo studente inizierà a vacillare. Una volta dirà "Gatto", un'altra "Cane", un'altra "Non so".

3. Il Cuore del Metodo: Rilevare il "Conflitto"

Qui entra in gioco la parte geniale del paper. C-EDL ascolta tutte queste diverse risposte e chiede: "C'è un conflitto?"

• Nessun conflitto: Tutti gli "esperti" (le diverse visioni della foto) dicono la stessa cosa. -> L'AI è sicura, procediamo.
• Molto conflitto: Gli esperti si stanno litigando. Uno dice "Gatto", l'altro "Auto". -> L'AI capisce che c'è qualcosa di strano.

Quando rileva questo conflitto, C-EDL agisce come un moderatore saggio: "Riducete la vostra sicurezza!".
Invece di dire "Sono sicuro al 100%", l'AI dirà: "Beh, visto che le mie diverse visioni non sono d'accordo, forse è meglio che non risponda, o che dica che sono molto incerto".

4. Perché è così potente? (I Risultati)

Il paper ha fatto molti test su diversi "giochi" (dataset) e contro diversi "hacker" (attacchi). Ecco cosa è successo:

• Contro gli hacker: Quando qualcuno ha provato a ingannare l'AI con trucchi sottili, i vecchi metodi continuavano a dire "Sono sicuro!". C-EDL, invece, ha detto: "Ehi, c'è troppo conflitto qui, non mi fido!". Ha rifiutato di rispondere nel 90% dei casi di attacco, proteggendo il sistema.
• Contro cose strane: Se mostravi all'AI un'auto invece di un gatto, i vecchi metodi pensavano fosse un gatto. C-EDL ha detto: "Non assomiglia a nulla che conosco, non rispondo".
• Senza rallentare: La cosa incredibile è che tutto questo succede dopo che l'AI è stata addestrata. Non serve riaddestrarla da zero (che costerebbe tempo e soldi). È come aggiungere un "filtro di sicurezza" che si attiva solo quando serve.

In sintesi

Immagina C-EDL come un controllore di volo che non si fida ciecamente del pilota automatico.
Se il pilota automatico dice "Tutto ok", il controllore guarda le condizioni meteo da diverse angolazioni (ruota, sposta, disturba). Se le angolazioni danno risultati contrastanti, il controllore grida: "STOP! C'è un conflitto, non atterriamo!".

Questo metodo rende l'Intelligenza Artificiale molto più umana: sa ammettere di non sapere, sa quando è sotto attacco e, soprattutto, non si fida troppo di se stessa quando le cose non tornano. È un passo fondamentale per rendere l'AI sicura da usare nelle auto a guida autonoma, negli ospedali e nelle decisioni critiche.

Sommario tecnico

1. Il Problema

L'affidabilità dei modelli di Deep Learning è critica per le applicazioni ad alto rischio (es. sanità, guida autonoma), dove l'ingresso di dati fuori distribuzione (OOD) o avversariali (perturbati intenzionalmente per ingannare il modello) può portare a conseguenze disastrose.
Sebbene l'Evidential Deep Learning (EDL) sia un paradigma efficiente per la quantificazione dell'incertezza (modellando le previsioni come distribuzioni Dirichlet in un singolo passaggio deterministico), presenta una vulnerabilità fondamentale:

• Sovraconfidenza sotto attacco: Gli input perturbati possono indurre il modello EDL a produrre previsioni eccessivamente confidenti, trattando dati OOD o avversariali come se fossero in-distribution (ID).
• Limiti delle soluzioni esistenti: Le estensioni recenti dell'EDL migliorano la rilevazione OOD ma spesso non risolvono il problema della natura deterministica singola, lasciando il modello esposto ad attacchi basati su gradienti. Le approcci post-hoc (dopo l'addestramento) sono promettenti ma devono mantenere l'efficienza computazionale.

2. Metodologia: C-EDL (Conflict-Aware Evidential Deep Learning)

Il paper propone C-EDL, un approccio post-hoc leggero che potenzia qualsiasi classificatore EDL pre-addestrato senza necessità di ri-addestramento. La metodologia si basa sulla teoria di Dempster-Shafer e si articola in tre fasi principali:

A. Generazione di Evidenze tramite Trasformazioni Metamorfiche

Per ogni input di prova $x$, C-EDL applica un insieme di $T$ trasformazioni metamorfiche $\{\tau_1, ..., \tau_T\}$ che preservano l'etichetta (es. rotazioni, spostamenti, rumore controllato per immagini).

• Ogni trasformazione produce una vista diversa ma semanticamente equivalente dell'input.
• Il modello EDL pre-addestrato elabora ciascuna vista, generando un vettore di parametri Dirichlet $\alpha^{(t)}$ (evidenza) per ogni trasformazione.
• Questo crea un insieme di evidenze diverse che riflettono la stabilità (o instabilità) delle credenze del modello.

B. Quantificazione del Conflitto

C-EDL misura il disaccordo tra le diverse viste attraverso due metriche complementari:

1. Variabilità Intraclass ($C_{intra}$): Misura quanto l'evidenza per una singola classe fluttua attraverso le trasformazioni (alta varianza indica instabilità epistemica).
2. Contraddizione Interclasse ($C_{inter}$): Misura casi in cui il modello supporta classi competenti con alta evidenza simultaneamente (indicando incertezza sulla previsione corretta).

Queste due metriche sono combinate in un punteggio di conflitto totale $C$ (Eq. 6), che è limitato tra 0 e 1 e cresce monotonicamente con l'aumentare del disaccordo.

C. Aggiustamento dell'Evidenza (Conflict Adjustment)

Il punteggio di conflitto $C$ viene utilizzato per calibrare l'incertezza finale:

• I parametri Dirichlet aggregati $\bar{\alpha}_k$ vengono scalati esponenzialmente in base al conflitto: $\tilde{\alpha}_k = \bar{\alpha}_k \times \exp(-\delta C)$.
• Effetto: Quando il conflitto è alto (input OOD o avversariale), l'evidenza totale viene ridotta, aumentando la massa di incertezza ($\tilde{u}$) e riducendo la confidenza della previsione. Quando il conflitto è basso (input ID), l'output rimane simile all'EDL originale, preservando l'accuratezza.

3. Contributi Chiave

1. Approccio Post-Hoc Efficiente: C-EDL migliora la robustezza senza modificare i pesi del modello o richiedere un ri-addestramento, rendendolo facilmente integrabile in sistemi esistenti.
2. Garanzie Teoriche: Viene fornito un teorema che dimostra come la misura di conflitto $C$ sia limitata, tende a zero solo in caso di parametri identici e concentrati su una singola classe, e cresce monotonicamente con l'aumento del conflitto.
3. Benchmark Completo: Valutazione estesa su 10 dataset, scenari near-OOD e far-OOD, e contro attacchi basati su gradienti (L2PGD, FGSM) e non basati su gradienti (rumore Salt-and-Pepper).

4. Risultati Sperimentali

Gli esperimenti dimostrano che C-EDL supera significativamente lo stato dell'arte (inclusi EDL, S-EDL, I-EDL, H-EDL, ecc.):

• Riduzione della Copertura OOD e Avversariale: C-EDL riduce drasticamente la percentuale di dati OOD e avversariali che il modello accetta erroneamente come corretti.
  • Riduzione della copertura OOD fino al ~55%.
  • Riduzione della copertura avversariale fino al ~90% (es. su MNIST vs FashionMNIST, la copertura avversariale scende dal 52% dell'EDL base al 15% di C-EDL).
• Preservazione dell'Accuratezza ID: L'accuratezza sui dati in-distribution (ID) rimane quasi invariata (es. >99% su MNIST), con una riduzione minima della copertura ID (solo ~2-3%), dimostrando che il metodo non penalizza i dati corretti.
• Robustezza ai Tipi di Attacco: C-EDL mantiene prestazioni superiori sia contro attacchi gradient-based (L2PGD) che non gradient-based (Salt-and-Pepper), generalizzando bene su diversi tipi di perturbazioni.
• Efficienza Computazionale: Nonostante l'aggiunta di trasformazioni, l'overhead di inferenza è trascurabile rispetto ad altri metodi post-hoc complessi (es. S-EDL richiede ~5x più tempo, mentre C-EDL è molto più veloce).

5. Significato e Impatto

C-EDL rappresenta un passo avanti significativo verso l'implementazione sicura dell'AI in ambienti critici.

• Affidabilità: Offre un meccanismo robusto per rilevare quando un modello non dovrebbe fidarsi della propria previsione, specialmente sotto attacco.
• Praticità: Essendo un metodo post-hoc leggero, può essere applicato a modelli già deployati senza costi di ri-addestramento o infrastrutture computazionali massive.
• Generalizzabilità: Funziona efficacemente su diversi domini (digitale, oggetti naturali, flora) e architetture, dimostrando che l'analisi del conflitto tra viste multiple è una strategia superiore rispetto alla semplice regolarizzazione durante l'addestramento per la rilevazione di anomalie e attacchi avversariali.

In sintesi, C-EDL risolve il problema della "falsa sicurezza" dell'EDL sotto attacco, trasformando l'incertezza in uno strumento di difesa affidabile ed efficiente.