ニューラル ネットワークは、さまざまな機械学習分野で最先端のパフォーマンスを達成していますが、入力データに悪意のある摂動を組み込むこと (敵対的な例) は、ニューラル ネットワークの予測をだますことが示されています。これは、自動運転を危険にさらしたり、テキスト識別を混乱させたりするなど、現実世界のアプリケーションに潜在的なリスクをもたらす可能性があります。このようなリスクを軽減するには、敵対的な例がどのように機能するかを理解することが重要ですが、これは未解決のままです.ここでは、敵対的摂動には人間が認識できる情報が含まれていることを示します。これは、人間が認識できない情報がネットワークを欺く上で重要な役割を果たすという広く議論されている議論とは対照的に、ニューラル ネットワークの誤った予測の原因となる主要な共謀者です。人間が認識できる情報のこの概念により、敵対的な例の存在、異なるニューラル ネットワーク間の転送可能性、敵対的トレーニングのためのニューラル ネットワークの解釈可能性の向上など、敵対的摂動に関連する重要な機能を説明することができます。ニューラルネットワークをだます敵対的摂動の2つのユニークな特性、マスキングと生成が明らかになりました。ニューラル ネットワークが入力画像を分類するときに、特殊なクラスである相補クラスが識別されます。敵対的摂動に含まれる人間が認識できる情報により、研究者はニューラル ネットワークの動作原理に関する洞察を得ることができ、敵対的攻撃を検出/防御する技術の開発につながる可能性があります。
Neural networks have achieved the state-of-the-art performance in various machine learning fields, yet the incorporation of malicious perturbations with input data (adversarial example) is shown to fool neural networks' predictions. This would lead to potential risks for real-world applications such as endangering autonomous driving and messing up text identification. To mitigate such risks, an understanding of how adversarial examples operate is critical, which however remains unresolved. Here we demonstrate that adversarial perturbations contain human-recognizable information, which is the key conspirator responsible for a neural network's erroneous prediction, in contrast to a widely discussed argument that human-imperceptible information plays the critical role in fooling a network. This concept of human-recognizable information allows us to explain key features related to adversarial perturbations, including the existence of adversarial examples, the transferability among different neural networks, and the increased neural network interpretability for adversarial training. Two unique properties in adversarial perturbations that fool neural networks are uncovered: masking and generation. A special class, the complementary class, is identified when neural networks classify input images. The human-recognizable information contained in adversarial perturbations allows researchers to gain insight on the working principles of neural networks and may lead to develop techniques that detect/defense adversarial attacks.