Читаем Власть роботов. Как подготовиться к неизбежному полностью

Разумеется, над решениями этих проблем работают умные люди. Например, компания Sensity поставляет программное обеспечение, по ее словам способное распознавать большинство дипфейков. Однако технология не стоит на месте, что делает неизбежной «гонку вооружений» наподобие той, что идет между создателями компьютерных вирусов и компаниями, продающими программы для защиты от них. В этой гонке у злоумышленников постоянно будет пусть минимальное, но преимущество. По словам Яна Гудфеллоу, он не смог бы определить, является ли изображение реальным или фейковым, только «рассматривая пиксели»[299]. В конечном счете нам придется полагаться на механизмы аутентификации, например киберподписи к фотографиям и видео. Может быть, когда-нибудь каждая видеокамера и каждый мобильный телефон будут добавлять цифровую подпись в каждую запись. Один стартап, Truepic, уже предлагает приложение, поддерживающее эту функцию. В число его клиентов входят крупнейшие страховые компании, которые по присылаемым клиентами фотографиям оценивают все что угодно, от зданий до ювелирных изделий и дорогих вещиц[300]. Тем не менее, по мнению Гудфеллоу, это в конце концов не станет полноценным технологическим решением проблемы дипфейков. Нам придется каким-то образом научиться ориентироваться в новой беспрецедентной реальности, где все, что мы видим и слышим, может оказаться иллюзией.

Дипфейки призваны вводить людей в заблуждение. С этой проблемой связана другая — злонамеренное фабрикование данных, призванных обмануть или подчинить алгоритмы машинного обучения. В ходе таких «состязательных атак» специально созданная входная информация заставляет систему машинного обучения совершать ошибку, позволяя атакующему добиться желаемого результата. В случае машинного зрения в картину помещают какой-то предмет, искажающий ее интерпретацию нейросетью. Известен случай, когда исследователи брали фотографию панды, идентифицируемую системой глубокого обучения правильно с уверенностью 58 %, добавляли тщательно сконструированный визуальный шум и заставляли систему с уверенностью 99 % принимать ее за гиббона[301]. В ходе особенно пугающей демонстрации обнаружилось, что добавлением к знаку «Движение без остановки запрещено» всего лишь четырех маленьких прямоугольных черно-белых наклеек можно внушить системе беспилотных автомобилей, что это знак, ограничивающий скорость 45 милями в час[302]. Иными словами, состязательная атака может иметь смертельные последствия. В обоих приведенных примерах человек просто не обратил бы внимания на сбивающую с толку информацию и, безусловно, не был бы обманут. На мой взгляд, это самая яркая демонстрация того, насколько поверхностным и хрупким являются представления, формирующиеся в современных глубоких нейросетях.

Сообщество исследователей ИИ серьезно относится к состязательным атакам и считает их критической уязвимостью. Ян Гудфеллоу посвятил значительную часть своей исследовательской карьеры вопросам безопасности использования систем машинного обучения и созданию способов защиты. Сконструировать системы ИИ, неуязвимые для состязательных атак, непросто. В одном из подходов применяется так называемое соревновательное обучение, при котором в обучающие выборки специально включают состязательные примеры в надежде, что нейросеть сможет идентифицировать атаки. Однако, как и в случае дипфейков, здесь почти неизбежна постоянная гонка вооружений, в которой атакующие всегда будут на шаг впереди. Как отмечает Гудфеллоу: «Никто еще не создал по-настоящему мощный алгоритм защиты, способный противостоять разнообразным атакующим алгоритмам на основе состязательности»[303].

Хотя состязательные атаки касаются исключительно систем машинного обучения, они станут очень серьезной проблемой в списке компьютерных уязвимостей, которыми смогут воспользоваться киберпреступники, хакеры или иностранные разведывательные службы. Поскольку искусственный интеллект применяется все шире, а интернет вещей усиливает взаимосвязь устройств, машин и инфраструктуры, вопросы безопасности становятся намного более значимыми с точки зрения последствий, а кибератаки наверняка участятся. Более широкое применение ИИ неизбежно вызовет появление более автономных систем с меньшим участием людей, которые станут привлекательными целями для кибератак. Представьте, например, ситуацию, когда продукты питания, лекарства и важнейшие расходные материалы доставляются беспилотными грузовиками. Атака, которая заставит эти транспортные средства остановиться или хотя бы создаст серьезные задержки в исполнении заказов, может иметь опасные для жизни последствия.