これは画像に特定のノイズやステッカーなどを加えることで、人工知能を誤認識させる手段で、例えば、自動運転が普及した際に、道路標識や通行人の存在を誤認識させることで犯罪やテロを起こすこともできるなど、阻害攻撃とAIの脆弱性の問題は解決すべき問題として指摘されている。
誤認識を誘発する技術には「ドルフィン・アタック」もある。こちらは、超音波で音声認識AIを誤認識させるというものだ。中国・浙江大学はその研究報告のなかで、ドルフィン・アタックは家庭用アシスタントやスマートフォンを誤認させることができるとし、攻撃に対する対策が必要だと警鐘を鳴らしている。
最近では、MITと香港大学、シンガポール科学技術庁が共同で、自然言語処理システムを無力化するプログラム「TextFooler」を開発したとして話題だ。TextFoolerは文章内の特定の重要な単語を同義語に置き換えるプログラムだが、変換された文章はAIでは非常に認識しづらくなる。例えば、グーグルの自然言語処理システムである「BERT」であっても、誤認識率が5~7倍に跳ね上がったとの検証結果が発表されている。
家庭用アシスタントやスマートフォンなど、自然言語処理システムをベースにした端末が拡散するなか、TextFoolerを用いた検証結果は、人々の生活に潜在的なリスクが広がることを暗示するものとなった。また現在のSNSやEメールなどは、自然言語処理システムに依存してスパムや違法な広告・コンテンツを認知・削除している。TextFoolerのようなプログラムを用いれば、その“監視網”を突破することができるということが証明されてしまった。
たしかに画像認識AIや音声認識AIに対する攻撃に比べると、社会に及ぼすリスクは小さいかもしれない。ただ、「AIはまだまだだますことができる」という根拠がもうひとつ立証されたことには間違いない。今後、AIの脆弱性に対して企業や研究者がどのように対応していくか。AIの社会実装が進むなか、引き続き大きなテーマとなりそうだ。
連載:AI通信「こんなとこにも人工知能」
過去記事はこちら>>