Solving adversarial examples requires solving exponential misalignment

Lo studio dimostra che la vulnerabilità agli esempi avversari deriva da un disallineamento esponenziale tra le varietà percettive delle reti neurali e quelle umane, suggerendo che la robustezza può essere raggiunta solo allineando la dimensionalità di questi spazi concettuali.

L'essenziale

🎨 Il Mistero della "Sala dei Specchi" Infinita

Immagina di avere una stanza piena di specchi. Questa stanza è lo spazio delle immagini: ogni punto della stanza è una possibile foto che potresti scattare.

1. Come vede l'Uomo vs. Come vede la Macchina

• L'Uomo (La nostra percezione): Quando noi pensiamo a un "gatto", nella nostra mente abbiamo un concetto molto preciso e limitato. Immagina che il concetto "gatto" sia un piccolo, elegante giardino in mezzo alla stanza. Solo le immagini che assomigliano a un vero gatto (con le orecchie, i baffi, la coda) stanno dentro questo giardino. Se provi a camminare fuori dal giardino, smetti di vedere un gatto. Il giardino è piccolo, compatto e ha poche dimensioni (è facile da descrivere).
• La Macchina (La percezione artificiale): Per la rete neurale, il concetto "gatto" non è un giardino. È un enorme oceano che riempie quasi tutta la stanza. Per la macchina, quasi qualsiasi cosa può essere un gatto se la guardi da un certo angolo o se le aggiungi un po' di "rumore" invisibile. La sua "Sala dei Gatti" è così vasta che occupa quasi tutto lo spazio disponibile.

2. Il Problema: La "Mancata Sincronizzazione" Esponenziale

Il paper dice che c'è un enorme disallineamento (una "mancata sincronizzazione") tra come noi e come le macchine vedono il mondo.

• La dimensione del "giardino umano" è piccola (circa 20 dimensioni).
• La dimensione dell'"oceano della macchina" è gigantesca (migliaia di dimensioni).

Poiché il volume cresce in modo esponenziale con le dimensioni, l'oceano della macchina è così grande che contiene milioni di immagini che la macchina chiama "gatto", ma che per noi sono solo rumore statico o distorsioni senza senso.

L'analogia della folla: Immagina che la macchina sia una folla di persone che urlano "Gatto!" per qualsiasi cosa che si muova, anche un'ombra o un granello di polvere. Noi invece diciamo "Gatto!" solo se vediamo un vero gatto. La macchina è "troppo generosa" nel suo riconoscimento.

3. Perché esistono gli "Esempi Avversari"?

Gli esempi avversari sono quei piccoli trucchi (aggiungere un po' di rumore invisibile a una foto di un aereo) che fanno credere alla macchina che sia un "cane".

Secondo gli autori, questo succede proprio perché l'oceano della macchina è così grande:

• Se il tuo concetto di "gatto" è un piccolo giardino, devi camminare molto per uscire da esso.
• Se il concetto della macchina è un oceano che riempie la stanza, sei sempre vicinissimo alla riva.
• Quindi, basta un piccolissimo passo (una perturbazione impercettibile) per uscire dal concetto di "aereo" ed entrare nel concetto di "cane" della macchina, perché i loro oceani si toccano quasi ovunque.

In sintesi: Gli esempi avversari esistono perché la macchina ha "imparato" male. Ha creato un concetto troppo grande e dispersivo, rendendo il mondo pieno di trappole invisibili.

4. La Soluzione: Rendere il Giardino più Piccolo

Il paper dimostra che le macchine più "robuste" (quelle che resistono meglio agli attacchi) sono quelle che hanno ridotto le dimensioni del loro oceano.

• Quando una macchina è addestrata bene, il suo "oceano" si restringe e diventa più simile al nostro "giardino".
• Più il concetto della macchina è piccolo e preciso (bassa dimensionalità), più è difficile ingannarla, perché devi fare un passo molto più grande per uscire dal suo concetto.

Gli autori hanno analizzato 18 diverse reti neurali e hanno visto che:

1. Le reti con più errori (meno robuste) hanno concetti enormi e disordinati.
2. Le reti più robuste hanno concetti più piccoli e ordinati.
3. Tuttavia, anche le reti più robuste non sono perfette: il loro "giardino" è ancora molto più grande di quello umano. C'è ancora molta "spazzatura" che la macchina accetta come vero.

5. Cosa significa per il futuro?

Il messaggio finale è che non possiamo risolvere il problema degli esempi avversari solo con trucchi matematici o filtri. Dobbiamo insegnare alle macchine a percepire come noi.
Dobbiamo "allineare" le dimensioni dei loro concetti con i nostri. Se riusciamo a far sì che la macchina veda un "gatto" solo quando c'è un vero gatto (e non quando c'è rumore), allora diventerà molto più sicura e robusta.

In parole povere: Per rendere l'IA sicura, dobbiamo smettere di farle credere che "tutto può essere un gatto" e insegnarle a vedere la differenza tra un gatto e un granello di polvere, proprio come facciamo noi.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Solving adversarial examples requires solving exponential misalignment" (Risolvere gli esempi avversariali richiede di risolvere un disallineamento esponenziale) di Alessandro Salvatore, Stanislav Fort e Surya Ganguli.

1. Il Problema

Il lavoro affronta due problemi fondamentali e interconnessi nel campo dell'Intelligenza Artificiale:

• Esempi Avversariali: Piccole perturbazioni negli input, impercettibili per l'occhio umano, che ingannano le reti neurali facendole classificare erroneamente. Nonostante un decennio di ricerca, le reti neurali rimangono molto meno robuste della visione umana.
• Allineamento (Alignment): La difficoltà di allineare il comportamento dei sistemi AI potenti con i valori e le intenzioni umane.
  Il paper ipotizza che la persistenza degli esempi avversariali non sia dovuta a difetti locali o a caratteristiche non robuste, ma a una mancanza di allineamento geometrico esponenziale tra la percezione delle macchine e quella umana nello spazio degli input.

2. Metodologia e Quadro Teorico

Il Concetto di "Perceptual Manifold" (PM)

Gli autori definiscono il Perceptual Manifold (PM) di una rete neurale per un concetto di classe $c$ come lo spazio di tutti gli input $x$ che la rete assegna a quella classe con alta confidenza (es. probabilità $> 0.9$).
$$PM \equiv \{x \in [0, 1]^D \mid p(c | x) > p_0\}$$
L'obiettivo è confrontare la dimensionalità e la geometria del PM della macchina con il manifold delle immagini naturali percepite dagli umani come appartenenti alla stessa classe.

Misurazione della Dimensionalità

Per quantificare la complessità di questi manifold, gli autori utilizzano due metriche di dimensionalità intrinseca:

1. Participation Ratio (PR): Basata sugli autovalori della matrice di covarianza dei campioni. Misura il numero di direzioni significative di varianza.
2. Two Nearest Neighbors (2NN): Stima la dimensionalità intrinseca basandosi sulle distanze tra i punti vicini nello spazio dei dati.

Campionamento del PM

Per esplorare il contenuto del PM di una rete, gli autori utilizzano la Projected Gradient Ascent (PGA). Partendo da un rumore casuale uniforme nello spazio degli input, ottimizzano l'input per massimizzare la log-probabilità della classe target, proiettando iterativamente il risultato all'interno del cubo iperdimensionale degli input validi. Questo processo genera campioni che la rete "vede" come appartenenti alla classe target con alta confidenza.

Modello Teorico di Fragilità

Gli autori propongono un modello toy in cui il PM è un ellissoide $d$-dimensionale in uno spazio ambientale $D$-dimensionale. Dimostrano analiticamente che la distanza attesa tra un punto casuale e il bordo del PM diminuisce linearmente all'aumentare della dimensionalità $d$. Se $d \approx D$ (il PM riempie quasi tutto lo spazio), qualsiasi punto nello spazio è estremamente vicino al PM, rendendo banale trovare una perturbazione avversaria.

3. Risultati Chiave

Disallineamento Esponenziale

L'analisi su diverse architetture (ResNet su CIFAR-10, CLIP, CNN su ImageNet) rivela un divario dimensionale catastrofico:

• Immagini Naturali (Umane): Hanno una dimensionalità intrinseca molto bassa (circa 20-30 dimensioni per CIFAR-10 e ImageNet).
• PM delle Macchine (Reti Standard): Hanno una dimensionalità ordini di grandezza superiore. Per CIFAR-10, il PM di una rete standard occupa circa 3000 dimensioni su un totale di 3072. Per ImageNet, occupa oltre 130.000 dimensioni su 150.528.
• Conseguenza: Esistono esponenzialmente più input che le macchine classificano con sicurezza come un certo concetto (es. "gatto") rispetto a quelli che gli umani classificano come tale. Molti di questi input sono rumore o pattern non semantici.

Correlazione tra Robustezza e Dimensionalità

Analizzando 18 reti diverse con diversi livelli di robustezza avversariale (da RobustBench), gli autori trovano una correlazione negativa forte:

• Le reti con maggiore robustezza avversariale tendono ad avere PM con dimensionalità inferiore.
• Tuttavia, anche le reti più robuste rimangono esponenzialmente disallineate rispetto agli umani (es. PR $\approx$ 250 vs 10 per le immagini naturali), spiegando perché la robustezza assoluta non è ancora stata raggiunta.

Geometria e Distanza

• Distanza dal Rumore: La distanza euclidea tra un punto casuale (rumore) e il PM aumenta all'aumentare della robustezza e al diminuire della dimensionalità del PM.
• Allineamento Semantico: Solo nelle reti più robuste e per le classi con la dimensionalità PM più bassa (quella che si avvicina a quella umana), i campioni generati dal PM iniziano a mostrare strutture semantiche riconoscibili (es. parti di oggetti, texture coerenti). Nelle reti non robuste, i campioni del PM appaiono come rumore bianco.

Validazione su CLIP e ImageNet

Il fenomeno non è limitato alle reti supervisionate su CIFAR-10. Anche i modelli Foundation come CLIP (addestrati con apprendimento contrastivo) mostrano un disallineamento esponenziale, con PM che riempiono quasi interamente lo spazio delle immagini, indipendentemente dalla semantica del prompt (funziona anche per prompt "gibberish").

4. Contributi Principali

1. Nuova Definizione Geometrica: Introduce il concetto di Perceptual Manifold come oggetto centrale per comprendere la percezione delle macchine, spostando il focus dalle decision boundary alla struttura dello spazio degli input accettato.
2. Spiegazione della Fragilità: Fornisce una spiegazione geometrica unificata per gli esempi avversariali: la loro esistenza è una conseguenza diretta dell'eccessiva dimensionalità dei PM delle macchine, che riempiono lo spazio input rendendo ogni punto vicino a una classe.
3. Connessione tra Robustezza e Allineamento: Dimostra che la robustezza avversariale è un caso specifico del problema più ampio dell'allineamento AI-umano. Risolvere gli esempi avversariali richiede di "comprimere" la dimensionalità dei PM delle macchine fino a farli coincidere con quella delle percezioni umane.
4. Predizioni Verificate: Conferma sperimentalmente che ridurre la dimensionalità del PM aumenta la distanza dai punti casuali e migliora la robustezza, validando l'ipotesi geometrica.

5. Significato e Implicazioni

• Sfida Fondamentale: Il paper suggerisce che le attuali tecniche di addestramento avversariale (Adversarial Training) non risolvono il problema alla radice perché non riducono sufficientemente la dimensionalità del PM. Per ottenere una vera robustezza, è necessario sviluppare metodi di addestramento che forzino una allineamento dimensionale tra le rappresentazioni delle macchine e quelle umane.
• Avvertimento per l'Allineamento AI: Se è difficile allineare la percezione di base (visione) su uno spazio esponenzialmente grande, allineare valori e intenzioni complesse di AI avanzate su spazi di input ancora più vasti (testo, codice, interazioni) potrebbe essere una sfida ancora più ardua.
• Nuova Direzione di Ricerca: Il lavoro invita a concentrarsi non solo sulla creazione di confini decisionali più robusti, ma sulla modifica della geometria interna della rete per ridurre la dimensionalità intrinseca delle sue rappresentazioni, rendendole più simili alla struttura dei dati naturali.

In sintesi, il paper sostiene che gli esempi avversariali non sono un bug, ma una proprietà geometrica inevitabile di reti che operano in spazi ad alta dimensionalità con manifold percettivi troppo "voluminosi". La soluzione risiede nel ridurre questo volume attraverso un allineamento dimensionale con la percezione umana.