Adversarial training

Adversarial training is een techniek die wordt gebruikt in machine learning en kunstmatige intelligentie (AI) om modellen robuuster te maken tegen zogenaamde "adversarial examples". Dit zijn speciaal ontworpen invoergegevens die, hoewel ze voor mensen onmerkbaar zijn, een AI-model kunnen misleiden om verkeerde voorspellingen te doen of foutieve beslissingen te nemen.

Stel je voor dat je een AI-model hebt getraind om katten en honden te herkennen op afbeeldingen. Een adversarial example zou dan een afbeelding van een kat kunnen zijn die met minuscule, voor het menselijk oog onzichtbare, veranderingen is bewerkt, waardoor het AI-model deze plotseling als een hond classificeert.

Waarom is adversarial training belangrijk?

AI-modellen worden steeds vaker ingezet in kritieke toepassingen zoals zelfrijdende auto's, medische diagnostiek, financiële systemen en beveiliging. Als deze modellen kwetsbaar zijn voor adversarial attacks, kan dit leiden tot ernstige gevolgen, zoals ongelukken, verkeerde diagnoses, financiële fraude of beveiligingslekken. Adversarial training is erop gericht deze kwetsbaarheden te verminderen.

Hoe werkt adversarial training?

Het basisidee is om het AI-model tijdens het trainingsproces bloot te stellen aan deze "misleidende" voorbeelden, zodat het leert hoe het deze moet herkennen en correct moet classificeren. Het proces verloopt doorgaans als volgt:

1. Genereren van adversarial examples: Tijdens de training worden niet alleen de originele, "schone" data gebruikt, maar ook adversarial examples. Deze voorbeelden worden gecreëerd door kleine, gerichte verstoringen toe te voegen aan de invoerdata. Het doel is om deze verstoringen zo te kiezen dat ze de fout van het model maximaliseren, maar tegelijkertijd voor mensen onmerkbaar blijven. Technieken zoals de "Fast Gradient Sign Method (FGSM)" of "Projected Gradient Descent (PGD)" worden vaak gebruikt om deze voorbeelden te genereren.

2. Training op gemengde data: Het AI-model wordt vervolgens getraind op een dataset die bestaat uit zowel de originele (schone) voorbeelden als de nieuw gegenereerde adversarial examples. De "loss-functie" van het model (de functie die aangeeft hoe goed het model presteert) wordt aangepast om fouten op zowel schone als misleidende invoer te bestraffen.

3. Itereren en verfijnen: Dit proces wordt herhaald over meerdere trainingscycli. Door het model herhaaldelijk te confronteren met deze uitdagende gevallen, leert het om robuuster te zijn en minder gevoelig voor kleine verstoringen in de invoer.

Analogie:

Denk aan adversarial training als een soort "vaccinatie" voor AI-modellen. Net zoals vaccins het immuunsysteem blootstellen aan verzwakte ziekteverwekkers om immuniteit op te bouwen, stelt adversarial training AI-modellen bloot aan uitdagende invoer om ze te leren weerstand te bieden aan aanvallen.

Voordelen van adversarial training:

• Verhoogde robuustheid: Maakt AI-modellen veel veerkrachtiger tegen gerichte aanvallen en onverwachte variaties in data.

• Verbeterde betrouwbaarheid: Draagt bij aan de betrouwbaarheid van AI-systemen in kritieke toepassingen.

• Beter generaliserend vermogen: Soms kan het trainen met adversarial examples het model ook helpen om beter te generaliseren naar nieuwe, onverwachte data.

Uitdagingen:

• Hogere computationele kosten: Het genereren van adversarial examples en het trainen op een grotere, complexere dataset vereist aanzienlijk meer rekenkracht en trainingstijd dan standaardtraining.

• Mogelijk overfitten: Er is een risico dat het model te sterk geoptimaliseerd raakt voor de adversarial examples die tijdens de training zijn gebruikt, waardoor het minder goed presteert op écht nieuwe, niet-misleidende data.

• Niet perfect: Hoewel adversarial training de robuustheid aanzienlijk verbetert, is het geen waterdichte oplossing. Nieuwe, geavanceerdere adversarial attacks kunnen nog steeds kwetsbaarheden blootleggen.

Kortom, adversarial training is een cruciale techniek om de veiligheid en betrouwbaarheid van AI-systemen te verbeteren door ze te harden tegen kwaadwillende manipulaties van invoerdata.

Bronnen: 

https://adversarial-ml-tutorial.org/adversarial_training/

https://arxiv.org/abs/1412.6572

https://www.paloaltonetworks.com/cyberpedia/what-are-adversarial-attacks-on-AI-Machine-Learning

https://www.paloaltonetworks.com/cyberpedia/what-are-adversarial-attacks-on-AI-Machine-Learning

https://www.emerce.nl/wire/cybercriminelen-ondermijnen-steeds-vaker-aifundamenten-door-trainingsdata-manipuleren

https://www.orna.app/post/adversarial-ai-in-corporate-environments-a-new-threat-to-business-security-and-operations#:~:text=In%20corporate%20settings%2C%20adversarial%20attacks,leading%20to%20data%20breaches%2C%20operational

https://www.xcubelabs.com/blog/adversarial-attacks-and-defense-mechanisms-in-generative-ai/#:~:text=a.&A%202022%20study%20by%20OpenAI,applied%20to%20image%20generation%20models.

https://www.splunk.com/en_us/blog/learn/adversarial-ml-ai.html

https://pareto.ai/blog/adversarial-training-in-ai

https://www.dremio.com/wiki/adversarial-training/#:~:text=While%20Adversarial%20Training%20enhances%20the,to%20be%20secure%20to%20prevent

https://datascientest.com/en/adversarial-training-what-you-didnt-know-yet#:~:text=This%20is%20where%20Adversarial%20Training,to%20protect%20against%20these%20attacks.