ウィリアム・ギブスンの小説『Zero History』のなかで、主要な登場人物のひとりが“世界一醜いTシャツ”を着用する場面がある。滑稽な見た目のその服を着ると、不思議なことに着用者は監視カメラから見えなくなる──。
世界中の国々が人工知能(AI)を用いた監視システムで国民を追跡し、監視しているいま、わたしたちもまた“醜いTシャツ”を着ることになるかもしれない。ノースイースタン大学とマサチューセッツ工科大学(MIT)、IBMの研究者が、着用者がAIに認識されなくなるシャツをデザインしたのだ。
このシャツには、さまざまな色が万華鏡のようにプリントされている。いま増えつつある「敵対的サンプル」、すなわち不気味なデジタル監視に対抗すべくつくられた対象物のひとつだ。
「この敵対的Tシャツは、物体検出で使用されるニューラルネットワークに作用します」と、ノースイースタン大学で電気及びコンピューター工学の助教で、このテーマで最近発表された論文の共著者でもある林雪(リン・シュエ)は説明する。ニューラルネットワークは通常、画像内の誰か、もしくは何かを認識し、その周囲に境界ボックス(バウンディングボックス)を描いた上で、その物体にラベル付けする。
林らはニューラルネットワークの境界ポイント、すなわちあるものが“物体”であるかどうか決定づける境界を見つけることによって、その裏をかくことに成功した。AIによる分類とラベル付けシステムを混乱させうるデザインを作成したのだ。
AIをだますための対象物
このために研究チームは、トレーニングに使用されることの多い「YOLOv2」と「Faster R-CNN」というふたつの物体認識ニューラルネットワークを利用した。そして体のどの部位にピクセルのノイズをつけ加えればAIを混乱させることができて、着用者がAIから見えなくなるかを特定することができたのである。
AIをだますための対象物が開発されたのは、これが初めてではない。米国のカーネギーメロン大学とノースカロライナ大学チャペルヒル校の研究者は2016年、顔認識技術をだまして着用者を誤分類させられるメガネをつくった。17年には米国の研究者が「停止」の標識に目立たない落書きのようなものをいくつか足すことでディープニューラルネットワークをだまし、時速45マイル(同約72km)の速度制限標識であると誤認識させたことがある。
だが、これまでのこうした敵対的攻撃は、静止した物体の上に施されていた。ヴィデオによる監視を対象に同じ効果を得るのは、はるかに厄介だ。
「物理的攻撃において、本当に難しいのはヴィデオが撮影されている間ずっと検知されないでいることです」と、スパムメール検知システムをだませる敵対的サンプルを初めて作成したカリアリ大学助教のバティスタ・ビッジオは言う。「1コマごとに検知されている場合、一貫して検知されずにいるのははるかに困難なのです」
このシャツをつくった真の目的
Tシャツは停止標識とは違い、着用者が動くとしわが寄ったり波打ったりする。研究チームは、こうした状況を考慮に入れなくてはならなかった。
そして今回のTシャツをつくった研究チームは、動く物体にプリントできる敵対的サンプルをつくることに初めて成功したのである。開発にあたって研究チームは、林が「トランスフォーマー」と呼ぶ手法を採用した。Tシャツの動きを測定し、それをデザインの上にマッピングするというものだ。
研究者たちはチェック模様の服を着て歩く人を記録し、着用者の動きに合わせて服にどのようなしわが寄るのか正確にマッピングするために、模様の一つひとつの四角の角を追跡した。この手法を使うことで、検出回避率はYOLOv2に対して27パーセントから63パーセントに、Faster R-CNNに対して11パーセントから52パーセントへと向上した。
それでも、わたしたちがこういったTシャツを現実世界で目にすることになる可能性は低いのだと、林は言う。「現実の世界でこれをうまく機能させるのは、まだ難しいでしょうね。検出アルゴリズムについて、すべて理解できている前提で開発したものなんです」と、彼女は言う。「完璧ではないので、あちこちで問題が生じるかもしれません」
実際のところ研究者たちは、人々が監視技術から逃れるのを助けたがっているわけではない。それどころか、研究チームの究極の目的は人々が検出を回避するのを助けることではなく、ニューラルネットワークの弱点を見つけて監視する企業側がそれを修正できるようにすることなのだと、林は言う。「将来的には深層学習システムがだまされないように、こうした問題点を修正できればと思っています」
※『WIRED』による人工知能(AI)の関連記事はこちら。
TEXT BY ALEX LEE