Contract And Conquer: How to Provably Compute Adversarial Examples for a Black-Box Model?

Il paper propone "Contract And Conquer" (CAC), un metodo black-box che garantisce la generazione provabile di esempi avversari per reti neurali attraverso la distillazione della conoscenza su un dataset in espansione e la contrazione precisa dello spazio di ricerca, dimostrando prestazioni superiori rispetto agli stati dell'arte su ImageNet.

L'essenziale

Ecco una spiegazione semplice e creativa del paper "Contract And Conquer" (Contratta e Conquista), pensata per chiunque, anche senza un background tecnico.

Il Problema: Il "Castello" Invisibile

Immagina che le Intelligenze Artificiali (come quelle che riconoscono le foto o guidano le auto) siano dei castelli fortificati. I loro difensori (gli sviluppatori) vogliono essere sicuri che nessun ladro possa entrare.

Per testare queste difese, gli esperti usano dei "ladri" chiamati attacchi avversari. Questi ladri non rompono le mura con un ariete; invece, aggiungono un granello di polvere invisibile all'immagine di un gatto, facendola sembrare un cane all'occhio dell'IA.

Il problema è che, quando proviamo a testare questi castelli, spesso non abbiamo le chiavi del castello (non vediamo come è fatto dentro, è una "scatola nera"). I metodi attuali per trovare questi grani di polvere invisibili sono come cercare un ago in un pagliaio al buio: a volte funzionano, ma non possiamo mai essere sicuri al 100% di aver trovato l'ago o di aver provato ogni angolo. Se il test fallisce, non sappiamo se il castello è davvero invincibile o se il ladro era solo poco bravo.

La Soluzione: "Contratta e Conquista" (CAC)

Gli autori di questo paper propongono un nuovo metodo chiamato Contract And Conquer (Contratta e Conquista). Immaginalo come una strategia militare molto intelligente per trovare la porta segreta di quel castello, garantendo matematicamente che la troverai entro un certo numero di tentativi.

Ecco come funziona, passo dopo passo, con un'analogia:

1. Costruisci una "Copia in Miniatura" (Distillazione)

Invece di attaccare direttamente il castello gigante (il modello nero) che non puoi vedere, costruisci una piccola copia in scala (un modello "surrogato") che vive nel tuo giardino.

• Come? Chiedi al castello gigante: "Cosa vedi in questa foto?". Lui risponde. Tu prendi quella risposta e insegni alla tua copia a fare lo stesso.
• Più la tua copia è brava a imitare il gigante, più è utile.

2. Attacca la Copia (Conquista)

Ora che hai la copia, puoi vederla dall'interno (è una "scatola bianca"). Puoi usare un martello per colpire la copia e vedere dove si rompe. Trovi un punto debole (un "esempio avversario") che inganna la tua copia.

3. Il Test di Trasferibilità

Ora chiedi al castello gigante: "Se mostro questa foto modificata alla tua copia, cosa succede?".

• Se anche il gigante viene ingannato: Hai vinto! Hai trovato la porta segreta.
• Se il gigante non viene ingannato: La tua copia non era perfetta in quel punto specifico. Non arrenderti!

4. Il Contratto (La parte geniale)

Qui entra in gioco la magia del "Contratta". Se la copia non ha funzionato, fai due cose:

1. Aggiungi il fallimento al tuo libro di studio: Insegni alla copia proprio su quel punto in cui ha sbagliato, così la prossima volta sarà più sveglia.
2. Restringi il campo di ricerca: Immagina di avere una mappa enorme dove cercare il punto debole. Dopo ogni tentativo, invece di cercare ovunque, rstringi la mappa. Ti concentri solo sull'area molto vicina al punto dove hai appena tentato.

Perché è rivoluzionario?

La maggior parte dei metodi attuali è come cercare un tesoro senza una mappa: "Provo qui, provo lì... speriamo di trovare qualcosa".

Il metodo Contratta e Conquista è come avere una mappa che si restringe automaticamente ad ogni passo.

• La garanzia matematica: Gli autori dimostrano con la matematica che, se continui a "contrarre" l'area di ricerca e ad addestrare la tua copia, sarai obbligato a trovare il punto debole entro un numero fisso di tentativi. Non è più una questione di "speranza", è una certezza logica.
• Efficienza: In pratica, questo metodo trova punti deboli più vicini all'immagine originale (quindi più difficili da rilevare per l'occhio umano) rispetto agli altri metodi, usando meno tentativi.

In sintesi

Immagina di dover trovare una crepa in un muro di ghiaccio spesso.

• Metodo vecchio: Lanci sassi a caso sperando di trovare una crepa.
• Metodo CAC: Costruisci un piccolo modello di ghiaccio, lo colpisci per vedere dove si rompe, impari da quell'errore, e poi concentri il tuo prossimo colpo su un'area ancora più piccola e precisa vicino al primo tentativo. Ripeti finché non trovi la crepa nel muro vero.

Questo metodo è fondamentale perché, in settori critici come la medicina o le auto a guida autonoma, non possiamo permetterci di dire "sembra sicuro". Dobbiamo essere certi che un sistema possa essere ingannato (per poterlo poi riparare) o che sia davvero robusto. "Contratta e Conquista" ci dà quella certezza.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Contract And Conquer: How to Provably Compute Adversarial Examples for a Black-Box Model?" in lingua italiana.

1. Il Problema

La robustezza delle reti neurali profonde contro perturbazioni malevole (attacchi avversariali) è fondamentale per applicazioni critiche come la medicina e i sistemi autonomi. Sebbene gli attacchi "black-box" (dove l'attaccante ha accesso solo alle query e alle uscite del modello, non ai gradienti o ai pesi) siano ampiamente utilizzati per testare questa robustezza, presentano un limite fondamentale: mancano di garanzie teoriche.

I metodi esistenti sono prevalentemente euristici ed empirici. Non esiste alcuna garanzia matematica che un attacco black-box riesca a trovare un esempio avversariale per un modello specifico, né che il processo converga entro un numero definito di iterazioni. Questo rende difficile verificare la conformità ai nuovi standard normativi (come l'EU AI Act) che richiedono prove di robustezza. D'altra parte, i metodi di "robustezza certificata" offrono garanzie matematiche ma sono spesso computazionalmente proibitivi o degradano significativamente le prestazioni del modello su dati benigni.

Il paper si pone l'obiettivo di colmare questo divario proponendo un metodo per provare (in senso matematico) che un modello black-box non è robusto, calcolando un esempio avversariale con una garanzia di convergenza.

2. Metodologia: Contract And Conquer (CAC)

L'approccio proposto, denominato Contract And Conquer (CAC), è un metodo iterativo basato sul paradigma degli attacchi per trasferimento (transfer-based). La logica si basa su due processi alternati:

1. Distillazione della Conoscenza (Knowledge Distillation):

   • Viene addestrato un modello surrogato (più piccolo e bianco, white-box) per imitare le previsioni del modello target (black-box).
   • Il dataset di distillazione non è statico: inizia con un sottoinsieme casuale di dati vicini al punto target e si espande iterativamente aggiungendo nuovi punti critici scoperti durante l'attacco.
   • Il modello surrogato viene addestrato per replicare le previsioni del modello target con un alto grado di confidenza in una specifica regione dello spazio degli input.

2. Attacco White-Box e Contrazione dello Spazio di Ricerca:

   • Una volta addestrato il modello surrogato, viene eseguito un attacco avversariale white-box (utilizzando ad esempio MI-FGSM) su di esso per trovare un esempio avversariale $z_j$.
   • Viene verificata la trasferibilità: se l'esempio $z_j$ inganna anche il modello target black-box, l'algoritmo termina con successo.
   • Se l'esempio non è trasferibile, l'algoritmo esegue due azioni:
     • Aggiunge la coppia $(z_j, T(z_j))$ al dataset di distillazione per migliorare il modello surrogato.
     • Contrazione dello spazio di ricerca: Il dominio di ricerca degli esempi avversariali viene ristretto. Lo spazio di ricerca $U_{\delta}(x)$ viene intersecato con una nuova vicinanza $\rho_j$ centrata sull'ultimo esempio trovato $z_j$. La distanza $\rho_j$ è definita come una frazione della distanza tra l'esempio corrente e quello precedente ($\rho_j = t \|z_j - z_{j-1}\|_\infty$).

Questo ciclo di "espansione" del dataset di distillazione e "contrazione" dello spazio di ricerca forza il modello surrogato a diventare sempre più preciso nella regione di interesse, garantendo teoricamente che un esempio avversariale trasferibile venga trovato.

3. Contributi Chiave

• Nuovo Algoritmo Iterativo: Proposta di CAC, un metodo che combina distillazione della conoscenza su un dataset in espansione e contrazione controllata dello spazio di ricerca.
• Garanzia di Convergenza Teorica: Il paper dimostra matematicamente che, sotto ipotesi ragionevoli (gradiente limitato del modello surrogato e capacità di apprendimento sufficiente), l'algoritmo trova un esempio avversariale trasferibile per il modello black-box entro un numero fisso di iterazioni. La formula di convergenza è data da: $(n -1) \ln t \leq \ln \varepsilon - \ln \delta - \ln \gamma$.
• Superiorità Sperimentale: Dimostrazione empirica che CAC supera gli stati dell'arte (SOTA) negli attacchi black-box su dataset come ImageNet e CIFAR-10, sia per modelli CNN (ResNet) che per Vision Transformers (ViT).

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su ImageNet e CIFAR-10 con modelli target come ResNet-50 e ViT-B, confrontando CAC con metodi SOTA come HopSkipJump, Sign-OPT, GeoDA, SquareAttack e AdvViT.

• Tasso di Successo dell'Attacco (ASR): CAC raggiunge un ASR del 100% (1.00) in quasi tutte le configurazioni (hard-label e soft-label), superando o eguagliando i metodi concorrenti.
• Efficienza delle Query (AQN): CAC richiede in media un numero di query inferiore o comparabile rispetto ai metodi SOTA per trovare un esempio avversariale. Ad esempio, su ImageNet con ResNet-50, CAC richiede circa 488 query contro le 500+ di HopSkipJump.
• Qualità dell'Attacco (Distanza): Il contributo più significativo è la vicinanza dell'esempio avversariale al punto originale. CAC produce esempi con una norma $L_\infty$ e $L_2$ significativamente più piccole rispetto agli altri metodi.
  • Esempio (ImageNet, ResNet-50, Hard-label): CAC ottiene una distanza media $L_\infty$ di 0.153, mentre HopSkipJump e Sign-OPT sono intorno a 0.53-0.55. Questo indica che CAC trova perturbazioni molto più sottili e meno percettibili.
• Robustezza su Transformer: CAC dimostra efficacia anche su architetture moderne come i Vision Transformers (ViT-B), dove molti metodi basati su gradienti falliscono o hanno prestazioni inferiori.

5. Significato e Impatto

Il lavoro di Chistyakova e Pautov è significativo per diversi motivi:

1. Transizione dall'Empirico al Provabile: Offre un metodo per valutare la robustezza dei modelli black-box non solo empiricamente, ma con garanzie matematiche. Questo è cruciale per la certificazione di sistemi AI in settori regolamentati.
2. Alternativa alla Robustezza Certificata: Fornisce un approccio pratico per dimostrare la mancanza di robustezza (trovando un controesempio) senza i costi computazionali proibitivi delle tecniche di verifica formale o dello smoothing randomizzato.
3. Efficienza e Precisione: La capacità di trovare esempi avversariali con perturbazioni minime (vicini al punto target) suggerisce che i modelli target sono vulnerabili anche a modifiche quasi impercettibili, offrendo una valutazione più severa e realistica della sicurezza.
4. Implicazioni Normative: Il metodo fornisce uno strumento tecnico per verificare la conformità ai futuri standard di robustezza richiesti da leggi come l'EU AI Act, permettendo di provare che un sistema non è sicuro entro un numero limitato di tentativi.

In sintesi, Contract And Conquer rappresenta un passo avanti fondamentale verso la sicurezza verificabile dei modelli di deep learning, trasformando la ricerca di esempi avversariali da un processo euristico a uno processo deterministico e garantito.