月別アーカイブ: 2020年1月

AIは危険がいっぱい!!アルゴリズムの脆弱性を補強する対策が求められる

2020年1月、サンフランシスコでAIのカンファレンス「RE•WORK」(#reworkAI)が開催された。「Deep Learning Summit」(#reworkDL)という分科会では世界の著名研究者が集いAIの最新技法が議論された。セキュリティのセッションでは、AIが内在している脆弱性が紹介された。AIは未完のシステムで、予想以上に問題点が多く存在していることに驚かされた。AIが普及するなか、システム管理者は弱点を理解し喫緊に対策を取る必要がある。

出典: VentureClef

AIとセキュリティ

カリフォルニア大学バークレー校教授Dawn Songは「AI and Security」と題して、AIとセキュリティについて講演した(上の写真)。講義では、AIシステムに内在する問題やAIシステムへの攻撃事例が示され、その対応策も議論された。AIは新しい技術で、脆弱性を数多く内在し、ハッカーはこれらの弱点を攻撃する実態が明らかになった。

三つの攻撃パターン

いつの時代も新しい技術が登場すると新手の攻撃が始まる。AIも例外ではなく、ハッカーは三つの手法で攻撃する。1) AI機能を不全にする攻撃で「Integrity」と呼ばれる。この攻撃によりアルゴリズムが誤作動する。2) AIシステムから機密データを盗用する攻撃で「Confidentiality」と呼ばれる。ハッカーはアルゴリズムから機密情報を抜き取る。3) AIを悪用した攻撃で「Misuses」と呼ばれる。AIでフェイクニュースを生成するなどの攻撃が含まれる。

Integrity: 自動運転車への攻撃

自動運転車が市街地を走行し始めると新たな脅威が生まれる。自動運転車はクルマに搭載したカメラで道路標識を撮影し、それをAIが解析してその意味を把握する。道路標識に落書きがされていてもAIはこれを正しく認識する(下の写真、左側)。しかし、道路標識に符号のような特殊なパターンが加えられるとアルゴリズムは誤作動を起こす(下の写真、右側)。このケースでは、AIは一時停止標識ではなく速度制限標識(制限速度毎時45マイル)と誤認識する。このため、自動運転車は交差点で止まらず、走り抜けることになる。

出典: Dawn Song

走行試験をすると

実際にクルマを使って走行試験をすると、一時停止標識に特殊なパターンが加えられたケースでは、AIは速度制限標識と誤認識し、交差点で停止しないでそのまま進んだ(下の写真、左側)。自動運転車が市街地で営業運転をするなか、このような攻撃を受けると交通事故につながり、その危険性は甚大である。自動運転車の安全性評価の中で、AIについて安全性を確認する手順の制定が求められる。更に、イメージを識別するAIについて、攻撃に耐性のある規格を制定することも必要となる。

出典: Dawn Song  

Confidentiality: 言語モデルへの攻撃

ニューラルネットワークは予想外に危険な特性を持っていることが指摘された。言語モデル(言葉を生成するAI)はアルゴリズム教育の過程で、開発者の意図に反し、学習したデータを覚えてしまう。このため、機密情報を含むデータでアルゴリズムを教育すると、AIはそれを覚えてしまう。このため、ハッカーはAIから覚えた機密情報を抜き取るという攻撃を仕掛ける。

AIからクレジットカード番号を聞き出す

実際に、Enron(経営破綻した電力会社)という会社の社内メールを使って、AIから機密情報を盗み出す技法が紹介された。社内メールには、業務のやり取りだけでなく、個人のクレジットカード番号とソーシャルセキュリティー番号(マイナンバーに相当)も記載されている。このメールを使って言語モデルを教育し、完成したアルゴリズムに質問を投げかけた。具体的には、「Aさんのクレジットカード番号は」という言葉をモデルに入力すると、アルゴリズムは「xxxx-xxxx-xxxx-xxxx」とその番号を正しく回答した。実際に、10のケースについて試験したところ3つのケースで機密情報を引き出すことに成功した(下のテーブル)。

出典: Dawn Song  

Gmailへの攻撃

言語モデルが機密情報を記憶するという問題は広範囲に影響する。GoogleはGmailでAIがメールを生成する機能「Smart Compose」を提供している。Gmailに文字を入力すると、Smart Composeがそれに続く文章を作成する。ここでもアルゴリズムが機密情報を記憶するという問題が発生する。Smart Composeはユーザーが生成するメールで教育されており、入力された機密データをアルゴリズムが覚えてしまう。このため、Gmailで「Aさんのソーシャルセキュリティー番号は」と入力すると、Smart Composeが「281-26-5017」と出力し、機密情報を漏らしてしまう。

機密情報の露出をどう防止するか

これはSmart Composeだけの問題ではなく、言語モデルに共通する課題で、システム管理者はこの脆弱性に対応する必要がある(下の写真)。実際に、Smart Composeのケースでは、Googleはアルゴリズムが機密情報を漏らす程度を測定し、危険度を把握するというプロセスを取っている。また、教育データから消費者のプライバシーに関する部分を一部削除するという手法(Differential Privacyと呼ばれる)も使われる。このデータを使ってアルゴリズムを教育すると、AIはプライバシーに関する情報を出力しない。これらの技法を組み合わせてAIが機密情報を露出させない対策を講じることになる。

出典: Dawn Song  

Misuses: AIを悪用する 

三つ目は、高度なAI技法を悪用して他のシステムを攻撃したり、また、フェイクビデオを生成して特定人物を攻撃する手法である。特に、DeepFakesは著名人や政治家の顔を他の人物の顔に置き換える技法で、既に多くの被害が報告されている。今年は米国大統領選挙の年で、フェイクビデオやフェイクニュースが生成されソーシャルメディアで拡散すると懸念されている。

個人も情報管理をしっかりと

多くの企業がAIを導入しており、これらがハッカーの攻撃対象となる。システム管理者はAIの脆弱性を理解して、事前に対策を講じることが求められる。また、消費者もAIの弱点を理解して、攻撃の被害者とならないよう自衛することが必要となる。特に、暗証番号やパスワードなど機密情報をメールで送信すると、経路上でハッキングされるだけでなく、アルゴリズムがこれを記憶し、ハッカーの問いかけに答えて番号を流出させることになる。今では個人情報がAI教育で使われるので、消費者は今まで以上に機密情報の管理をしっかりと行うことが必要になる。

OpenAIは最も危険なAIを公開、アルゴリズムが完璧なフェイクニュースを生成する

OpenAIは人間のように文章を生成するAIを開発し、これをオープンソースとして公開した。このAIは「GPT-2」と呼ばれ、言語を生成する機能を持つ。GPT-2で生成された記事はごく自然で、人間が作成したものと区別はつかない。この技法が悪用されると、人間に代わりAIがフェイクニュースを作成し、感情を煽るプロパガンダがネットで拡散する。極めて危険なAIであるが、OpenAIがあえてこれを公開した背景には、AI言語モデルの開発を促進する狙いがある。GPT-2の研究が進むと社会に役立つソリューションが登場するとの期待がある。

出典: OpenAI

OpenAIとは

OpenAIはAI研究の非営利団体で、Elon MuskやSam Altmanらにより、2015年に設立された。OpenAIは社名が示しているようにオープンソースの手法でAIを開発することをミッションとする。OpenAIは特許や研究結果を公開し、他の研究機関と共同で、高度なAI技法を開発する。OpenAIは深層強化学習(Deep Reinforcement Learning)を中心にインテリジェンスの開発を中心テーマとする。更に、GPT-2のように高度な言語モデルの開発を通し、AIが言葉を理解する技法の研究を進めている。

言語モデルを公開

OpenAIは汎用言語モデル「GPT-2(Generative Pre-Trained – 2)」を開発し、それをオープンソースとして公開した。OpenAIはGPT-2の危険性に配慮して、小型モデルから公開を始め、安全性を評価したのちに、大型モデルの公開に踏み切った。このモデルはGPT-2(1.5B)と呼ばれ、最大構成のニューラルネットワークから成り、パラメータの数は15億個を超える。世界最大規模のAIとなる。

GPT-2の機能概要

GPT-2は高度な言語モデルで、入力された言葉の次に登場する言葉を予測する機能を持つ。シンプルな機能であるが、これが言葉を理解するという本質的な能力を構成し、文章の生成だけでなく、翻訳や文章の要約などにも使える。GPT-2は汎用的な言語モデルであるが、その中でも記事を生成する能力に秀でている。GPT-2に数行を入力すると、それに沿った文章を出力する。

実際に使ってみると

GPT-2が公開され、このモデルを実際に使ってみたが、人間が書くように滑らかな文章が生成される。書き出しを文章で入力すると、それに続く記事をGPT-2が生成する(下の写真)。主張したい内容を文で入力すると(赤文字)、GPT-2がそれに沿った記事を生成する(青文字)。これで「人は生活で一番大切と感じることをしている時に幸せと感じ、それが成功につながる」というエッセイが生成された。記事は自然な流れでマシンで生成したとは感じられない。(この文章を筆者の年賀状のメッセージとして使った。議論はあるが、AIが年賀状を書けるようになり、手抜きができるようになった。)

出典: VentureClef

ファンタジーゲーム

GPT-2が公開されてから、言語モデルの応用分野が急速に広がりつつある。その一つがゲームで、GPT-2が人間に代わって物語を語り始めた。「AI Dungeon 2」はGPT-2を搭載したファンタジーゲームで、人間に代わりAIが物語を生成する。これはテキストベースのゲームで、プレーヤーと対話しながらインタラクティブに物語が進む。プレーヤーがアクションを指示すると、ゲームはそれに応じてストーリーを変えていく。実際にプレーしてみると、ゲームの登場人物は指示に従って動き、状況に応じて動的に物語が変化する。事前にストーリーが決められているわけではなく、GPT-2がプレーヤーとの対話で新規に生成する(下の写真)。

出典: VentureClef

プレーヤーは「王国に住む騎士」となり「ドラゴンを退治」することがゴールとなる。「ドラゴンを探して森に入ると、一人の老人が泣いていた」という状況に遭遇し、ここでアクションを指示することが求められた(左側)。この画面で「老人は何をしているのか」と聞くと、老人は「妻が昨晩、盗賊に連れ去られた」と回答した。GPT-2はこちらの指示を理解し、それに応じた新たな物語を出力する。次に、「彼女を助けに行く」と入力すると、老人は「素晴らしい。救出に向かう前に食事しよう」と回答し、村に食べ物を探しに行く展開となった(右側)。

AIが物語を生成

AI Dungeon 2の背後でGPT-2が稼働している。プレーヤーが入力するコマンドを理解し、GPT-2は自動で次の物語を生成する。これはアドベンチャーゲームの一つで「Text Adventure」と呼ばれる。従来は、事前に物語が設定され、それをプレーヤーが選ぶ形でゲームが進行するが、AI Dungeon 2はGPT-2が新規に場面の流れを生成する。

最も完成度の高いモデル

GPT-2を使ってみると今までの言語モデルから大きく進化していることが分かる。GPT-2が生成した文章は極めて自然で、人間が書いたものと区別がつかない。具体的には、生成される記事は、文章や段落の単位でよく纏まっており、ストーリーが自然な流れで展開される。また、文章は特定の話題でまとまっており、論点が突然変わることはない(上述の年賀状のケース)。更に、物語の中で登場人物のキャラクターや役割が変わることなく一貫して提示され、自然な流れでストーリーが進む(上述のAI Dungeon 2のケース)。

しかし危険性も高まる

GPT-2は今までにない高度な言語生成能力を持つことになり、これが悪用されると危険性がぐんと高まる。OpenAIはこの点を警戒しており、フェイクニュース検知技術の研究開発を進めている。OpenAIが特に警戒しているのは、過激な思想をもつ集団がGPT-2を悪用してプロパガンダを生成することにある。情報操作のためのメッセージを生成したり、反対集団を攻撃するためのヘイトスピーチを生成することを警戒している。特に、白人至上主義(white supremacy)、イスラム原理主義(jihadist Islamism)、マルクス主義(Marxism)団体がGPT-2を悪用する可能性が高いと分析している。(下のグラフ、GPT-2をそれぞれの過激思想で再教育した場合、GPT-2はその内容に沿ったプロパガンダを作成できることを示している。)

出典: Irene Solaiman et al.

GPT-2の問題点

GPT-2は他社が開発している言語モデルを凌駕し、最も高度な言語生成機能を持つ。一方、ニューラルネットワークによる言語モデルに対して批判的な意見も少なくない。GPT-2は人間のようにエッセイを生成するが、AIがその内容を理解しているわけではない、という議論である。GPT-2は入力された文章に続く文章を推測するが、それは統計処理であり、AIが言葉の意味を理解しているわけではない。GPT-2は人間のように常識はなく、単なるマシンにすぎないという議論である。これに対し、OpenAIはAIに常識を学ばせる技法を研究しており、人間が持つインテリジェンスに近づこうとしている。AIが人間の言語能力を上回ることができるのか研究者たちが注目している。

GoogleはAIの品質保証書「Model Cards」を公開、アルゴリズムの機能と性能と限界を明確にする

社会にAIが幅広く浸透し日々の生活で利用されているが、消費者はAIの機能を理解しないまま使っている。AIは万全ではなく、顔認識で誤認したり、クレジットカード審査で女性が不利になることが報告されている。GoogleはAIの概要を明示する必要があるとして、アルゴリズムの中身を消費者に開示するシステムを開発した。

出典: Google

AIの品質証明書

これは「Model Cards」と呼ばれ、ここにアルゴリズムの機能や性能や限界が記載される。Model CardsはAIの品質保証書とも解釈でき、ここにAIの成績と欠点が書かれ、これを利用者や開発者に公開する。消費者はこれを読み、アルゴリズムの機能と限界を知り、AIを安全に利用する。

犬の種別を見分ける

例えば、ある企業が犬の種別を見分けるAIを開発し、それを販売したとする。Model CardsにはAIに関する基本情報が記載される(上のグラフィックス、イメージ)。これがAIの使用説明書となり、AIの特性を理解し適切に利用する。犬のどんな写真を使うとAIが正しく判定できるのかが分かる。大写しの写真や小さな写真ではAIが正しく判定できないことも理解できる。

Model Card:機能概要の説明

Googleは実際に、顔認識(Face Detection) AIのModel Cardsを公開した(下の写真)。ここには基本機能(Model Description)として、AIの概要が記述される(左側)。AIは認識した顔を四角の枠で囲って示すとの説明がある。また、顔の中で最大34のポイント(Landmark)を認識できるとしている。更に、ニューラルネットワークは「MobileNet」という種類で、軽量のイメージ判定AIであることが分かる。

出典: Google

Model Card:アルゴリズムの限界

Model CardsはAI機能の限界についても記載している。顔の向き(Facial Orientation)の限界を表示し、これを超えると検知できないとしている。また、顔の大きさ(Face Size)が小さすぎると検知できないとしている。具体的には、瞳孔間の距離(Pupillary distance)が10ピクセル以下だと検知できない。他に、暗い場所、顔が隠れている場合、顔が動いている場合は検知できないと注意を喚起している。

Model Card:精度の説明

Model CardsはAIの判定精度についても説明している。精度は「Precision-Recall Values」をプロットしたグラフで示される(上の写真右側)。また、グラフはベンチマークで使用したデータ種類ごとに示され、ここでは三種類のデータセットを使った結果が示されている。Precisionとは顔と認識したケースの精度で、Recallとは写真の顔をどれだけ漏れなく認識できたかを示す指標となる。つまり、Recallを見ると特定グループ(肌の色や性別の集団)の精度が分かり、これにより性別や人種によるバイアスがあるかどうかを検証できる。

出典: Margaret Mitchell et al.

業界で規格化を目指す

医薬品を買うと薬の効能や副作用や注意点が記載された説明書が添付されている。消費者はこれを読んで薬を安全に服用する。同様に、AIを使うときも消費者は説明書(上の写真、笑顔を検知するAIの説明書の事例)を読んで安全に利用する必要がある。これはGoogleが開発したAIだけでなく、他社が開発したAIにも適用することが求められる。このため、GoogleはModel Cardsを第一歩として、業界や開発者団体と共同で、この方式を規格化し普及させることを計画している。アルゴリズムの説明責任が求められる中、この活動がどこに向かうのか注視していく必要がある。

Alphabetは解体されムーンショットは終了か、Googleは激変の年を迎える

Alphabetは2019年12月、創業者のLarry PageとSergey Brinが役職を退き、Sundar Pichaiがこれを引き継ぐことを発表した。PichaiがAlphabetのCEOとなり、Googleを含むすべての経営を掌握する。これまで、PageはAlphabetのCEOとしてムーンショット「Other Bets」を育成してきた。今回の発表でPichaiがAlphabetの経営を担い、ムーンショットを継続するのか、その判断に関心が集まっている。

出典: VentureClef

Alphabetの設立

そもそもAlphabetとは、コア事業体「Google」と新規事業「Other Bets」を統括する親会社で、Other Betsの財政状況をクリアにするため、2015年10月に設立された。PageがCEOに就任し、同時に、PichaiがGoogleのCEOとなった。これにより、PageがAlphabetで次世代ビジネスを育成し、Pichaiが検索などのコア事業を運営する構造となった。

ムーンショットの概要

今回の発表でPageはAlphabetのCEOを退き、Pichaiがその後を引き継ぎ、ムーショットを運営する。Alphabetが設立されてから4年余りで大きな節目を迎えた。Alphabetで野心的な研究開発が進んでいるがこのプロジェクトをムーンショットと呼ぶ。「Waymo」は自動運転車を開発する会社で、既に、無人タクシーの営業運行を始めている。「Calico」は老化のメカニズムの研究を進め、老化を止める医療技術の開発を目指している。「Verily」はヘルスケア企業で、人体をデジタルに把握し健康を定義する。「Sidewalk Labs」はスマートシティを開発する企業でカナダで大規模な事業を進めている。「X」はMoonshot Factoryとも呼ばれ、文字通り革新的な技術を生み出す(下の写真、Xのオフィスビル。Xの他にWaymoやロボット開発チームが入居している)。

出典: VentureClef

組織見直しの理由は

なぜこのタイミングでAlphabet責任者がPageからPichaiに代わるのか、シリコンバレーで様々な憶測が流れている。CNBCはPageの健康問題が要因との見方を示している。Pageは声帯に異常があり大きな声が出ないという障害があり、ビジネスの一線から退いたと説明している。New York Timeは、Pageは会社経営には関心がなく、革新技術を探求するために会社を去ったとの見解を示している。Recodeは、公開されていな重大な出来事が起こり、Pageがこの職をPichaiに移譲したと推測している。どのメディアも真相を把握できておらず、謎に満ちた交代となった。

実質的に引退した状態

この発表とは別に、既に、Googleの顔はPichaiとなっている。PageはGoogle I/Oなどの公の場に姿を見せることはなく、その存在感は薄くなっている。最近では、Alphabet社内にも姿を見せなくなったといわれ、Pageの経営への関与も縮んでいる。事実、連邦議会委員会に出席を求められたが、Pageは出向くことはなく、空席のまま公聴会が進んだ。Pageは事実上、引退している状態であった。

Pichaiの評価

一方、PichaiはGoogleの顔となり、実質的に会社運営を担ってきた。Pichaiの評判は良好で、物静かで控えめなキャラクターと評価されている。Pichaiは本当のギークと評され、技術者の立場から企業運営を担っている。PichaiはしばしばMicrosoft CEOのSatya Nadellaと比較される。両者ともインド出身のアメリカ人で、カリスマ創業者の後を継ぎ、企業文化を保ちながら、うまく事業を拡大している。

ムーンショットの評価

Alphabetが設立され四年余りが経過するが、ムーンショットの成果が問われている。ムーンショットは毎年、大規模な赤字を計上しており、2018年度は34億ドルの損失となった。投資家やウォールストリートはAlphabetが大きな損失を出していることに厳しい見方を示している。Alphabetを閉じコア事業である検索にリソースを集約すべきとの意見が多い。これに対し、PageはGoogleの成長を維持するには新規事業を起こすことが必須であると主張しOther Betsの盾となってきた。

ムーンショットの行方は

PichaiはAlphabetの経営を任され、ムーンショットの運営についてどのような判断を下すのか、市場の関心が集まっている。このままプロジェクトを継続するのか、それとも、中止するのか、重大な決断が下されることになる。ただ、PageとBrinは役職を退いても、両者で株主総会の議決権の56%を有しており、今度は株主として会社経営に関与する。そのため、Pichaiの経営判断はPageの承認を仰ぐことになり、ムーンショットの路線が大きく変わることはないとの見方もある。事実、Waymoは事業開始直前で、ムーンショットの成功事例となる。投資家の視点は短いが、Googleの業績は好調で、その利益をどれだけムーンショットに投入するのか、このバランスが問われることになる。

出典: VentureClef

Googleは新本社を建設中

Googleは本社キャンパスに隣接して新社屋を建設している(上の写真)。外観は今にも飛び立とうとする宇宙船のようにも見え、人目を惹くデザインとなっている。この社屋のテーマは次世代ビルで、この巨大なドームの中に柔軟構造のオフィスビルが建設される。ドームの透明の天蓋で外光や外気を取り入れ、周囲には歩道や緑地が整備される。今年は本社ビルも変わることになる。