ニューラルネットワークは、さまざまな機械学習分野で最先端のパフォーマンスを実現していますが、悪意のある摂動を入力データ(敵対的な例)に組み込むことで、ニューラルネットワークの予測を欺くことができます。これは、自動操縦や顔認識など、実際のアプリケーションに潜在的なリスクをもたらす可能性があります。ただし、敵対的な例が存在する理由については、依然として議論の余地があります。ここでは、敵対的な摂動に人間が認識できる情報が含まれていることを示します。これは、ニューラルネットワークの誤った予測の原因となる主要な共謀者です。人間が認識できる情報のこの概念により、敵対的な例の存在、異なるニューラルネットワーク間の転送可能性、敵対的なトレーニングのためのニューラルネットワークの解釈可能性の向上など、敵対的な摂動に関連する主要な機能を説明できます。ニューラルネットワークをだます敵対的摂動の2つのユニークな特性が明らかになりました:マスキングと生成。ニューラルネットワークが入力画像を分類するときに、特別なクラスである補完クラスが識別されます。敵対的摂動に含まれる人間が認識できる情報により、研究者はニューラルネットワークの動作原理に関する洞察を得ることができ、敵対的攻撃を検出/防御する技術の開発につながる可能性があります。
Neural networks have achieved the state-of-the-art performance on various machine learning fields, yet the incorporation of malicious perturbations with input data (adversarial example) is able to fool neural networks' predictions. This would lead to potential risks in real-world applications, for example, auto piloting and facial recognition. However, the reason for the existence of adversarial examples remains controversial. Here we demonstrate that adversarial perturbations contain human-recognizable information, which is the key conspirator responsible for a neural network's erroneous prediction. This concept of human-recognizable information allows us to explain key features related to adversarial perturbations, which include the existence of adversarial examples, the transferability among different neural networks, and the increased neural network interpretability for adversarial training. Two unique properties in adversarial perturbations that fool neural networks are uncovered: masking and generation. A special class, the complementary class, is identified when neural networks classify input images. The human-recognizable information contained in adversarial perturbations allows researchers to gain insight on the working principles of neural networks and may lead to develop techniques that detect/defense adversarial attacks.