Formal Reasoning About Confidence and Automated Verification of Neural Networks

Este trabalho propõe uma estrutura unificada que estende redes neurais com camadas adicionais para permitir a verificação formal e automatizada de especificações de confiança e robustez, superando significativamente as abordagens existentes em uma vasta gama de benchmarks.

O essencial

Imagine que você tem um detetive de inteligência artificial (uma rede neural) que trabalha em um escritório de segurança. O trabalho dele é olhar para fotos e dizer o que elas são: "Isso é um cavalo", "Isso é um avião", etc.

O problema é que esse detetive é muito sensível. Se você colocar um pouquinho de "ruído" na foto (como uma mancha de poeira quase invisível), ele pode começar a gritar: "Isso é um cavalo!" quando na verdade é um avião. Isso é chamado de exemplo adversarial.

Até agora, os cientistas tentavam apenas verificar se o detetive mudava de ideia com essas pequenas manchas. Se ele mudava, o sistema era considerado "quebrado" (não robusto). Mas isso ignorava uma coisa importante: a confiança.

O Grande Problema: O Detetive Gritando sem Motivo

Aqui está a analogia principal:
Imagine que o seu detetivo olha para uma foto de um cavalo.

1. Cenário A: Ele grita "CAVALO!" com 99% de certeza. Você borrifa um pouco de tinta na foto. Ele muda para "DEER" (veado) com 99% de certeza. Isso é um desastre. O sistema falhou.
2. Cenário B: Ele grita "CAVALO!" com 99% de certeza. Você borrifa tinta. Ele muda para "VEADO", mas sussurra com 1% de certeza e parece confuso. Isso é aceitável? A maioria dos sistemas antigos diria "SIM, FALHOU", porque a resposta mudou. Mas, na vida real, se o sistema está tão inseguro que quase não sabe o que é, talvez não seja tão perigoso assim.

O artigo propõe uma nova maneira de testar esses detetivos, levando em conta o quanto eles estão confiantes em suas respostas.

A Solução: A "Caixa Preta" Mágica

O maior desafio é que as ferramentas atuais para testar esses detetivos são como máquinas de café muito específicas: elas só aceitam pedidos simples (ex: "Se a foto for X, a resposta deve ser Y"). Elas não entendem pedidos complexos como: "Se a foto for X, a resposta deve ser Y, OU se a resposta for Z, mas apenas se a confiança for menor que 10%".

Escrever um código novo para cada tipo de teste complexo é como tentar consertar o motor de um carro a cada vez que você quer fazer uma viagem diferente. É caro, demorado e difícil.

A ideia genial deste artigo é:
Em vez de consertar o motor (o verificador), eles criaram um adaptador universal (uma "caixa" extra).

1. A Gramática (A Lista de Comandos): Eles criaram uma linguagem simples que permite escrever qualquer regra de confiança que você imaginar (ex: "Ignore erros se a confiança for baixa", "Verifique se a confiança não cai muito", etc.).
2. O Adaptador (Camadas Extra): Eles pegam essa regra complexa e a transformam em uma pequena "caixa" feita de blocos de Lego (camadas de rede neural) que é colada no final do detetivo original.
   • Imagine que o detetivo original é um carro.
   • A regra complexa é um GPS complicado.
   • Em vez de tentar instalar o GPS direto no painel (o que quebraria o carro), eles colocam um adaptador entre o painel e o GPS. O adaptador traduz o pedido complexo do GPS em um sinal simples que o painel entende: "Vire à direita" ou "Vá em frente".

Como Funciona na Prática?

Eles usam uma técnica matemática inteligente para aproximar a "confiança" (que é uma fórmula complicada chamada softmax) em algo que a máquina consegue entender facilmente (inequações lineares).

Depois, eles usam uma técnica de "espelho" (chamada de flip) para transformar "E" (conjunção) em "OU" (disjunção) e vice-versa, permitindo que a máquina processe regras mistas sem explodir.

O Resultado: Mais Rápido e Mais Inteligente

Eles testaram essa ideia em 8.870 casos diferentes, desde redes neurais pequenas até gigantes com 138 milhões de parâmetros (o que é enorme!).

• O que eles descobriram?
  • O método deles é muito mais rápido do que tentar escrever códigos específicos para cada teste.
  • Eles conseguiram usar as melhores ferramentas do mundo (como o αβ-CROWN, que é o campeão de corridas de verificação) para fazer testes que antes eram impossíveis ou muito difíceis.
  • Eles provaram que, ao ignorar os erros de "baixa confiança", muitos sistemas que pareciam inseguros na verdade são seguros o suficiente para uso real.

Resumo em uma Frase

Os autores criaram um "tradutor universal" que permite que as ferramentas de segurança mais avançadas entendam regras complexas de confiança, transformando testes complicados em algo simples e rápido, sem precisar reescrever o código de segurança de cada vez. É como dar um novo idioma para o detetivo, permitindo que ele explique não apenas o que viu, mas quão certo ele está sobre isso.

Resumo técnico

1. Problema e Motivação

O artigo aborda a verificação formal de robustez em redes neurais, um campo crítico para aplicações de segurança (como veículos autônomos e diagnóstico médico). Embora exista um corpo extenso de trabalho sobre robustez (garantir que pequenas perturbações na entrada não alterem a classificação), a maioria das abordagens atuais ignora a confiança (confidence) da rede em sua saída.

O problema central identificado é que:

• Ignorância da Confiança: Métodos tradicionais tratam a saída como binária (correto/errado). No entanto, uma rede pode classificar erroneamente uma imagem perturbada com confiança extremamente baixa (o que pode ser aceitável em alguns contextos) ou manter a classificação correta, mas com uma queda drástica na confiança (o que indica fragilidade).
• Diversidade de Requisitos: Diferentes aplicações exigem variantes de robustez distintas (ex: robustez relaxada, robustez forte, robustez top-k), que muitas vezes envolvem combinações booleanas complexas de condições lineares e não lineares (como a função Softmax).
• Dificuldade de Codificação: As ferramentas de verificação de ponta (como $\alpha\beta$-CROWN, Marabou) são otimizadas para pós-condições simples (conjunções ou disjunções de átomos lineares). Verificar propriedades complexas que misturam lógica booleana e confiança (Softmax) exige modificações profundas no código dos verificadores ou o uso de codificações ad-hoc ineficientes.

2. Metodologia Proposta

Os autores propõem um framework unificado que permite raciocinar formalmente sobre a confiança e a robustez sem modificar os verificadores existentes. A metodologia divide-se em três etapas principais:

A. Gramática Generalizada

Foi definida uma gramática simples e expressiva para especificar pós-condições. Esta gramática captura:

• Combinações booleanas de condições baseadas em confiança (ex: Conf > 80%) e condições não baseadas em confiança (ex: logit_A > logit_B).
• Variantes existentes na literatura, como robustez forte e top-k, são instâncias específicas desta gramática.

B. Aproximação do Softmax

Como a função de confiança (Softmax) é não-linear (exponencial) e difícil de verificar diretamente com solvers lineares, os autores desenvolveram uma aproximação formal com garantias de erro:

• Eles transformam as restrições de confiança (ex: Conf(y, t) < b) em desigualdades lineares sobre os logits (valores de saída antes do Softmax).
• Aproximações são feitas para limites superiores e inferiores, introduzindo um parâmetro de erro controlável ($\delta$). Isso permite que as propriedades de confiança sejam expressas em Aritmética Racional Linear (LRA), compatível com os verificadores.

C. Codificação via Camadas Adicionais (Layer-based Encoding)

Esta é a contribuição técnica central para a escalabilidade. Em vez de modificar o código do verificador para lidar com pós-condições complexas, os autores propõem:

• Adição de Camadas: Anexar algumas camadas extras à rede neural original.
• Tradução Lógica: Essas camadas codificam a pós-condição complexa (a gramática) em uma única saída simples (ex: y > 0 ou y < 0).
• Mecanismo de Flip: Para lidar com a assimetria entre conjunções e disjunções (onde 0 pode significar "verdadeiro" em um contexto e "falso" em outro), eles introduzem uma operação de "flip" (inversão de sinal) usando pesos negativos e funções de ativação ReLU.
• Resultado: A propriedade complexa original é transformada em uma verificação de robustez padrão sobre a rede ampliada ($N'$), permitindo o uso de qualquer verificador de ponta (como $\alpha\beta$-CROWN) como uma "caixa preta".

3. Principais Contribuições

1. Gramática Unificada: Definição de uma gramática que suporta raciocínio generalizado sobre confiança, capturando robustez relaxada, forte, suave e top-k.
2. Novas Definições de Robustez: Introdução de conceitos de robustez relaxada que ignoram contra-exemplos de baixa confiança, oferecendo uma análise mais prática para cenários do mundo real.
3. Aproximação de Softmax com Garantias: Um método para linearizar a função de confiança com limites de erro formais, tornando-a verificável por solvers lineares.
4. Técnica de Codificação Universal: Um método que converte qualquer instância da gramática em camadas adicionais de rede neural, eliminando a necessidade de modificar verificadores existentes e permitindo a integração com ferramentas de última geração.
5. Avaliação Empírica Extensiva: Testes em 8.870 benchmarks (incluindo redes com até 138 milhões de parâmetros), demonstrando superioridade sobre abordagens ad-hoc.

4. Resultados Experimentais

Os experimentos foram realizados em conjuntos de dados MNIST, CIFAR-10, GTSRB e ImageNet, utilizando verificadores como Marabou e $\alpha\beta$-CROWN.

• Desempenho: A abordagem baseada em camadas superou significativamente as codificações ad-hoc (especialmente no solver Marabou) e permitiu que o $\alpha\beta$-CROWN (que não suporta nativamente propriedades complexas) verificasse essas propriedades com alta eficiência.
• Escalabilidade: O método foi capaz de verificar redes grandes (até 13,16 milhões de unidades de ativação não lineares e 138M de parâmetros) em um tempo razoável, com taxas de timeout baixas.
• Análise de Cenários:
  • Robustez Relaxada: Mostrou que muitas redes consideradas "não robustas" por padrões estritos são, na verdade, seguras quando se considera a confiança (ex: erros com confiança < 20%).
  • Robustez Forte: Identificou casos onde a classificação permanece correta, mas a confiança cai drasticamente, sinalizando vulnerabilidades que a robustez padrão não detecta.
  • Top-k e Affinity: Demonstrou que variantes complexas de robustez top-k e baseadas em afinidade (grupos de classes similares) podem ser verificadas eficientemente.

5. Significado e Conclusão

O trabalho é significativo porque democratiza a verificação de propriedades ricas e complexas em redes neurais. Ao transformar a complexidade lógica da especificação em uma estrutura de rede neural (camadas adicionais), os autores contornam as limitações de implementação dos verificadores existentes.

Isso permite que pesquisadores e engenheiros de segurança:

• Especifiquem requisitos de segurança mais realistas (considerando a confiança).
• Utiliem as ferramentas de verificação mais rápidas e robustas disponíveis no mercado (como $\alpha\beta$-CROWN) sem precisar reescrevê-las.
• Detectem vulnerabilidades sutis (como quedas de confiança) que métodos tradicionais ignoram.

Em suma, o artigo oferece uma ponte prática entre a teoria formal complexa e a verificação automatizada escalável de redes neurais em aplicações críticas.