I punti deboli delle reti neurali
In collaborazione con Google e DeepMind, i ricercatori di alcune università negli Stati Uniti e in Svizzera hanno pubblicato un articolo che illustra in che modo i sistemi di generazione di immagini DALL-E, Imagen e Stable Diffusion, che utilizzano algoritmi di machine learning, possono lasciar trapelare i dati. Dal punto di vista dell’utente, il funzionamento è sempre lo stesso: si digita una query di testo specifica, ad esempio “una poltrona a forma di avocado”, e in cambio viene generata un’immagine.
Per l’addestramento di tutti questi sistemi viene utilizzato un vasto numero (decine o centinaia di migliaia) di immagini con descrizioni testuali appositamente preparate. L’idea alla base di queste reti neurali è che, analizzando un’enorme quantità di dati durante l’addestramento, possono creare immagini nuove e uniche. Il risultato principale del nuovo studio, tuttavia, è che queste immagini non sono sempre così uniche. In alcuni casi è possibile forzare la rete neurale a riprodurre in modo quasi identico un’immagine originale utilizzata in precedenza per l’addestramento. Questo significa che le reti neurali possono inavvertitamente rivelare informazioni private.
Più dati per la “divinità dei dati”
Per chi non ha competenze specifiche, la risposta di un sistema di machine learning (o apprendimento automatico) a una query può sembrare frutto di magia: “incredibile… è come un robot che sa tutto!”. In realtà, non si tratta di magia…
Tutte le reti neurali funzionano più o meno allo stesso modo: si crea un algoritmo che viene addestrato utilizzando un set di dati, ad esempio una serie di immagini di cani e gatti accompagnate da una descrizione accurata del soggetto di ognuna. Al termine della fase di addestramento, all’algoritmo viene mostrata una nuova immagine, con la richiesta di distinguere se si tratta di un cane o di un gatto. Gli sviluppatori di questi sistemi sono quindi passati a uno scenario più complesso: l’algoritmo addestrato su molte immagini di gatti crea su richiesta l’immagine di un animale domestico che non è mai esistito. Esperimenti analoghi vengono condotti non solo con le immagini, ma anche con il testo, i video e persino la voce. Ad esempio, abbiamo già parlato del problema dei deepfake, i video alterati digitalmente nei quali qualcuno (in genere, politici e altre celebrità) sembra fare affermazioni che in realtà non ha mai pronunciato.
Per tutte le reti neurali, il punto di partenza è sempre un set di dati di addestramento, perché non possono creare nuovi contenuti dal nulla. Per creare l’immagine di un gatto, l’algoritmo deve analizzare migliaia di fotografie o disegni reali di questi animali. Questi set di dati dovrebbero rimanere riservati per numerosi motivi. Mentre in alcuni casi si tratta di informazioni di pubblico dominio, in altri casi i set di dati sono proprietà intellettuale della società di sviluppo che ha investito tempo e risorse considerevoli nella loro creazione con la speranza di ottenere un vantaggio competitivo. In altri casi ancora, si tratta di informazioni sensibili per definizione. Sono ad esempio in corso esperimenti in cui le reti neurali vengono utilizzate per la diagnosi di alcune malattie sulla base di radiografie e di altre analisi mediche. I dati utilizzati per l’addestramento degli algoritmi contengono pertanto informazioni sanitarie autentiche di persone reali che, per ovvie ragioni, non devono finire nelle mani sbagliate.
Diffusione
Anche se, visti dall’esterno, gli algoritmi di machine learning non sembrano presentare grandi differenze, in realtà sono diversi. Nel loro articolo, i ricercatori prestano particolare attenzione ai modelli di diffusione dell’apprendimento automatico. Ecco come funzionano: i dati per l’addestramento (ovvero, immagini di persone, automobili, abitazioni e così via) vengono distorti con l’aggiunta di rumore. La rete neurale viene quindi addestrata a ripristinare le immagini allo stato originale. Questo metodo consente di generare immagini di qualità accettabile. Tuttavia, la maggiore tendenza a lasciare trapelare le informazioni rappresenta un potenziale svantaggio, rispetto ad esempio agli algoritmi utilizzati nelle reti generative antagoniste, o GAN (Generative Adversarial Network).
I dati originali possono essere estratti dalle reti neurali in almeno tre modi diversi. In primo luogo, utilizzando query specifiche, è possibile forzare la rete neurale a generare non qualcosa di unico, creato sulla base di migliaia di immagini, ma una specifica immagine di origine. In secondo luogo, l’immagine originale può essere ricostruita anche se ne è disponibile solo una parte. In terzo luogo, è possibile stabilire con facilità se una determinata immagine è contenuta o meno nei dati di addestramento.
Molto spesso, le reti neurali sono pigre: invece di creare una nuova immagine recuperano qualcosa dal set di addestramento, se contiene più duplicati della stessa immagine. Oltre all’esempio sopra con la foto di Ann Graham Lotz, nello studio sono riportati altri risultati simili:
Se nel set di addestramento sono presenti più di cento duplicati di un’immagine, è molto probabile che venga riproposta quasi nella sua forma originale. I ricercatori hanno tuttavia dimostrato che è possibile recuperare in diversi modi anche le immagini presenti una sola volta nel set di addestramento originale. Questo metodo è molto meno efficiente: su cinquecento immagini testate, l’algoritmo ne ha ricreate solo tre in modo casuale. Il metodo più creativo per attaccare una rete neurale consiste nel ricreare un’immagine di origine utilizzandone solo un frammento come input.
A questo punto passiamo al tema del rapporto tra le reti neurali e il copyright.
Chi ruba a chi?
Nel gennaio 2023 tre artisti hanno citato in giudizio i creatori dei servizi di generazione di immagini basati su algoritmi di apprendimento automatico. Hanno affermato (giustamente) che gli sviluppatori delle reti neurali avevano eseguito l’addestramento con immagini raccolte online senza alcun rispetto per il copyright. Una rete neurale può infatti copiare lo stile di un particolare artista, causandogli un danno economico. L’articolo suggerisce che in alcuni casi gli algoritmi possono, per vari motivi, realizzare un vero e proprio plagio, generando disegni, fotografie e altre immagini quasi identiche alle opere di persone reali.
Lo studio fornisce raccomandazioni per rafforzare la privacy del set di addestramento originale:
- Eliminare i duplicati.
- Rielaborare le immagini di addestramento, ad esempio aggiungendo rumore o modificando la luminosità. Questo rende meno probabile la divulgazione dei dati di origine.
- Testare l’algoritmo con speciali immagini di addestramento, quindi verificare che non le riproduca inavvertitamente in modo accurato.
Quali saranno gli sviluppi?
I risvolti etici e legali del discorso sull’arte generativa aprono certamente un interessante dibattito, in cui occorre cercare un equilibrio tra artisti e sviluppatori delle tecnologie. Da un lato, il diritto d’autore deve essere rispettato. Dall’altro, la computer art è davvero così diversa dall’arte umana? In entrambi i casi, i creatori traggono ispirazione dalle opere di colleghi e concorrenti.
Ma torniamo ad aspetti più concreti e parliamo di sicurezza. Il documento fornisce una serie specifica di dati su un solo modello di apprendimento automatico. Estendendo il concetto a tutti gli algoritmi simili, arriviamo a una situazione interessante. Non è difficile immaginare uno scenario in cui, risposta alle domande di un utente, la funzionalità di chat automatizzata di un operatore di telefonia mobile divulghi informazioni aziendali sensibili: dopotutto, erano presenti nei dati di addestramento. Oppure, ad esempio, una query appositamente predisposta potrebbe indurre una rete neurale pubblica a generare una copia del passaporto di qualcuno. I ricercatori sottolineano che per il momento si tratta ancora solo di problemi teorici.
Ma altri problemi si sono già presentati. Già attualmente, qualcuno potrebbe utilizzare la rete neurale per la generazione di testo ChatGPT per scrivere codice dannoso reale in grado (in qualche caso) di funzionare. GitHub Copilot sta aiutando i programmatori a scrivere codice utilizzando come input un’enorme quantità di software open source. Lo strumento non sempre rispetta il copyright e la privacy degli autori il cui codice è entrato a far parte del vasto set di dati di addestramento. Con l’evoluzione delle reti neurali, aumenteranno anche gli attacchi che le prendono di mira, con conseguenze che ancora non possiamo prevedere del tutto.