Các nhà nghiên cứu về AI đang nỗ lực để cải thiện những hạn chế trong các mạng nơ-ron.

Một chiếc xe tự lái đi tới gần biển dừng, nhưng thay vì đi chậm lại, thì nó lại nhanh chóng tăng tốc về một ngã tư đông đúc. Và theo báo cáo tai nạn, thì đã có 4 miếng dán chữ nhật nhỏ ở trên biển dừng, khiến AI của chiếc xe này nhầm lẫn chữ trên biển báo thành “Tốc độ giới hạn: 45km/h”.

Sự kiện này thực tế là chưa xảy ra, nhưng nó biểu thị cho một sự thật là, AI rất dễ bị đánh lừa. Cụ thể, các nhà nghiên cứu đã chứng minh rằng, chỉ cần dính vào miếng dán lên biển báo là đã có thể đánh lừa AI. Ngoài ra, các AI nhận diện gương mặt cũng có thể bị đánh lừa nếu dính một vài họa tiết in lên trên kính hoặc mũ, còn các AI nhận diện giọng nói thì lại bị nhầm lẫn trước những tiếng nhiễu trắng.

Phía trên chỉ là một vài ví dụ để phá hoại công nghệ nhận diện xu hướng của AI, được biết đến với cái tên mạng nơ-ron sâu (DNN). Những mạng nơ-ron này đã vô cùng thành công trong việc phân loại dữ liệu, từ hình ảnh, âm thanh, giọng nói, cho tới dữ liệu người dùng. Chúng len lỏi vào trong đời sống hàng ngày, hiện diện trong các hệ thống di động tự động hay các hệ thống gợi ý nhạc hoặc phim ảnh. Tuy nhiên, chỉ cần vài thay đổi nhỏ, vốn không ảnh hưởng gì tới con người, là đã có thể làm đảo lộn toàn bộ những mạng nơ-ron này, cho dù chúng có tiên tiến tới đâu.

Và theo Dan Hendrycks, một nghiên cứu sinh lĩnh vực khoa học máy tính tại Đai học California, Berkeley, đây là một vấn đề đáng quan ngại, chứ không chỉ đơn thuần là vài lỗ hổng công nghệ. Cũng như những nhà khoa học khác, ông cảm thấy, những tình huống trên là minh chứng cho việc các DNN quá mỏng manh: chúng chỉ làm tốt trong một lĩnh vực nhất định, và khi phải rời vùng an toàn, thì không ai có thể đoán trước chúng sẽ thất bại như thế nào.

Hậu quả của những thất bại này có thể rất nghiêm trọng. Cụ thể, các hệ thống deep learning đang dần rời phóng thí nghiệm, tiến tới thế giới thực trong các ứng dụng như xe tự lái, phân tích hành vi phạm tội, hay chẩn đoán bệnh tật. Và như vậy, chỉ với một vài nhiễu loạn trong một bản chụp y tế, thì DNN sẽ có thể đưa ra các chẩn đoán sai. Ngoài ra, các tin tặc cũng có thể tận dụng những yếu điểm này để xâm nhập vào các hệ thống AI, khiến chúng tự làm hỏng các thuật toán hình thành.

Và để tìm hiểu cụ thể những lỗi sai nói trên, các nhà nghiên cứu đang tìm hiểu nguyên nhân cho sự thất bại của các DNN. Tuy nhiên, François Chollet, một kỹ sư AI tại Google lại khẳng định: “Không có cách nào để hàn gắn lỗi của các mạng nơ-ron sâu.” Ông và một số nhà nghiên cứu khác lại tin rằng, nên cải thiện khả năng của DNN, ví dụ như tạo ra các AI có thể tự tìm hiểu, tự viết code, và tự lưu trữ bộ nhớ. Và theo một vài chuyên gia, các hệ thống như trên, nếu có thể thành hiện thực, sẽ mở ra một kỷ nguyên mới về nghiên cứu AI.

Tình hình thực tiễn

Vào năm 2011, Google đã công bố một hệ thống có thể nhận diện mèo trên các video Youtube, khởi đầu cho một làn sóng hệ thống phân loại sử dụng DNN. “Lúc đó, ai cũng nói, ‘Điều này thật kỳ diệu, cuối cùng thì máy tính cũng có thể hiểu được về thế giới.’” Jeff Clune, một nhà nghiên cứu tại Đại học Wyoming kiêm quản lý nghiên cứu cấp cao tại Uber AI chia sẻ.

Nhưng các nhà nghiên cứu AI thì lại biết rằng, DNN không thực chất am hiểu về thế giới. Chúng chỉ là những cấu trúc phần mềm, tạo nên bởi các nơ-ron ảo được xếp lớp, mô phỏng theo kiến trúc của một bộ não, trong đó mỗi nơ-ron lại kết nối với các nơ-ron ở các lớp bên cạnh chúng.

Ý tưởng phía sau mạng nơ-ron là: đầu vào sẽ xuất phát từ lớp đáy, kích thích một số những nơ-ron này, và rồi truyền tín hiệu tới các nơ-ron ở phía trên, tuân thủ theo một vài thuật toán nhất định. Để huấn luyện một mạng DNN, ta sẽ phải cho nó tiếp cận với rất nhiều ví dụ, sau đó lại thay đổi các kết nối nơ-ron cho tới khi lớp trên cùng có thể đưa ra câu trả lời như mong muốn (ví dụ: phân biệt đâu là ảnh sư tử, kể cả khi DNN chưa từng nhìn thấy bức ảnh bao giờ).

Vào năm 2013, mọi người lại phải đối mặt với một thực tế phũ phàng khi nhà nghiên cứu tại Google, ông Christian Szegedy và các đồng nghiệp công bố bản thảo nghiên cứu “Các yếu tố thú vị phía sau mạng nơ-ron”. Cụ thể, trong nghiên cứu này, nhóm đã cho thấy rằng, chỉ bằng cách thay đổi một vài pixel trên ảnh đã được DNN nhận diện thành công, thì DNN sẽ cho ra một kết quả khác hoàn toàn. Và những hình ảnh đã được chỉnh sửa này được gọi là “sinh mẫu đối kháng” (adversarial examples).

Một năm sau, Clune, nghiên cứu sinh của ông – Anh Nguyen, và Jason Yosinski tại đại học Cornell, Ithaca, New York, đã cho thấy rằng, có thể làm cho các DNN thấy những thứ không hề tồn tại trên ảnh, ví dụ như thấy chim cánh cụt trong một họa tiết sóng. “Bất cứ ai từng thử qua machine learning đều biết rằng, các hệ thống này thỉnh thoảng sẽ trục trặc,” Yoshua Bengio, Đại học Montreal, Canada, đồng thời là một trong những người tiên phong ở lĩnh vực deep learning phát biểu. “Nhưng thứ đáng ngạc nhiên là lỗi mà hệ thống gặp phải. Và lần này là một lỗi mà ít ai nghĩ là có thể xảy ra.”

Theo sau đó là sự phát hiện ra một loạt lỗi mới. Vào năm ngoái, Nguyen, người đang nghiên cứu tại Đại học Auburn, Alabama, đã cho thấy rằng, các hệ phân loại có thể gặp trục trặc chỉ bằng cách quay vật thể. Còn vào năm nay, Hendrycks và các đồng nghiệp lại khám phá ra rằng kể cả những bức ảnh hoàn toàn không qua chỉnh sửa cũng có thể gây nhầm lẫn, và kể cả những hệ phân tích tiên tiến nhất cũng có đôi lúc phân loại bánh vòng hoặc nấm thành chuồn chuồn.

Và vấn đề không chỉ nằm ở việc nhận diện vật thể: mọi AI có sử dụng DNN để phân loại đều có thể bị đánh lừa. AI chơi game cũng có thể bị phá hoại: Vào năm 2017, nhà khoa học máy tính Sandy Huang, Đại học California, Berkeley, cùng các đồng nghiệp đã tập trung nghiên cứu một DNN chuyên chơi các game Atari thông qua một quá trình có tên gọi là học tăng cường (reinforcement learning). Cụ thể, trong quá trình này, AI sẽ được cung cấp một mục tiêu, và để phản hồi với nhiều đầu vào khác nhau, AI sẽ học thông qua trải nghiệm để biết được cách đạt được mục tiêu đó. Đây cũng đồng thời là công nghệ phía sau các AI nổi tiếng như AlphaZero và Pluribus (AI chơi Poker). Và chỉ bằng việc thêm vào vài pixel trên màn hình, là đội của Huang đã có thể đánh bại AI trong trò chơi.

Vào đầu năm nay, Adam Gleave cùng các đồng nghiệp tại Đại học California, Berkeley, đã cho thấy rằng, có thể thêm vào một yếu tố trong môi trường AI, tạo thành một “cơ chế đối kháng” (adversarial policy) để làm nhiễu loạn các phản hồi của AI. Lấy ví dụ một cầu thủ bóng đá AI có khả năng ghi bàn qua một thủ môn AI, thì khi thêm vào cơ chế đối kháng này, sẽ mất khả năng ghi bàn nếu thủ môn hành động theo cách khó dự đoán, như là tự nhiên nằm xuống đất.

Cầu thủ bóng đá AI không thể phản hồi khi thủ môn AI thực hiện “cơ chế đối kháng” ngã ra sân. Ảnh: Adam Gleave.

Và nếu các tin tặc nắm bắt được các điểm yếu của DNN, chúng sẽ có thể kiểm soát các AI mạnh. Một ví dụ cụ thể là vào hồi năm ngoái, đội ngũ của Google đã thành công tái lập trình hoàn toàn một DNN thông qua việc sử dụng các mẫu đối kháng, khiến AI sử dụng DNN này thay đổi hoàn toàn mục đích hoạt động.

Về lý thuyết, có rất nhiều mạng nơ-ron, đặc biệt là các mạng có thể học cách hiểu ngôn ngữ, có khả năng mã hóa mọi chương trình máy tính khác. Clune chia sẻ: “Về lý thuyết, bạn có thể biến một chatbot thành bất cứ một chương trình nào. Và ai mà biết được điều gì sẽ xảy khi điều này có thể thực hiện.” Clune cũng đồng thời lo ngại về một tương lai, trong đó các tin tắc chiếm quyền các mạng nơ-ron trên cloud để chạy những thuật toán riêng của chúng.

Dawn Song, nhà khoa học máy tính tại Đại học California, Berkeley, cũng đồng tình rằng DNN có thể trở nên rất nguy hiểm. “Có quá nhiều cách để tấn công một hệ thống,” bà chia sẻ. “Và lại vô cùng khó để phòng trừ những phương thức tấn công này.”

Càng nhiều sức mạnh, càng nhiều yếu điểm

Với nhiều lớp, DNN có thể phân tích nhiều xu hướng trong những đặc điểm khác nhau của dữ liệu đầu vào trong quá trình phân loại. Một AI được huấn luyện để nhận diện phi cơ sẽ sử dụng song song các đặc điểm như: mảng màu, chất liệu, hình nền, cấu trúc cánh. Nhưng điều này cũng có nghĩa là, chỉ cần một chút thay đổi trong dữ liệu đầu vào, là AI đã chuyển sang một trạng thái hoàn toàn khác.

Một giải pháp đơn giản là, cho AI tiếp cận với nhiều dữ liệu hơn – tức liên tục cho nó tiếp cận với các trường hợp sai để tự sửa chữa. Quá trình này được gọi là “huấn luyện đối kháng” (adversarial training), trong đó, mạng sẽ trước tiên phân loại sự vật, sau đó thử lại một lần nữa sau khi đầu vào đã được thay đổi để xảy ra lỗi. Với quá trình này, các sinh mẫu đối kháng sẽ trở thành một phần của bộ dữ liệu huấn luyện cho DNN.

Hendrycks và đồng nghiệp cũng tin rằng, quá trình huấn luyện như vậy sẽ giúp DNN phòng ngừa tốt hơn trước các sinh mẫu đối kháng. Tuy nhiên, họ lo ngại rằng, tập trung vào huấn luyện một kiểu tấn công sẽ làm DNN yếu thế trước các kiểu tấn công khác. Và các nhà nghiên cứu tại Google DeepMind, đứng đầu bởi Pushmeet Kohli đã thử giúp các DNN chống lại các lỗi sai, thông qua việc thêm vào một tính năng tích hợp vào mạng, giúp DNN không thay đổi kết quả phân loại khi xảy ra những thay đổi nhỏ.

Tuy nhiên, ở thời điểm hiện tại, bài toán về sự dễ nhầm lẫn của AI vẫn chưa có một lời giải thỏa mãn hoàn toàn. Theo Bengio, mấu chốt của vấn đề là, các DNN không có một mô-hình tốt để tìm ra những đặt điểm quan trọng. Khác với con người, AI không có một mô hình cho phép nhận diện sự vật thông qua các đặc điểm lớn và cụ thể, và vì vậy không thể loại trừ những đặc điểm nhỏ hoặc chi tiết không quan trọng. “Chúng ta phân biệt được đâu là đặc điểm quan trọng qua kinh nghiệm. Và kinh nghiệm này đến từ việc am hiểu về cấu trúc thế giới,” Bengio nói.

Một phương thức giải quyết vấn đề này là kết hợp các DNN với AI biểu tượng – mô hình AI phổ biến nhất trước sự xuất hiện của machine learning. Với AI biểu tượng, các máy móc sẽ tuân theo những quy chế nhất định về sự vật, hiện tượng, cũng như các mối quan hệ giữa chúng. Còn đối với một vài nhà nghiên cứu, như nhà tâm lý học Gary Marcus tại Đại học New York, thì các mô hình AI lai (hybrid AI), mới là cánh cửa dẫn tới tương lai. “Tính hiệu quả trong ngắn hạn của deep learning đã làm con người quên đi những định hướng về dài hạn,” Marcus, người vẫn luôn chỉ trích phương thức deep learning phát biểu. Vào hồi tháng 5, ông đã đồng sáng lập một startup mang tên Robust AI tại Palo Alto, California, với mục tiêu phối hợp deep learning với các kỹ thuật AI dựa trên quy chế, nhằm tạo ra các robot có thể làm việc song hành với con người. Và đây cũng đồng thời là một mục tiêu chung cho các doanh nghiệp.

Kể cả khi áp dụng các quy tắc, độ hiệu quả của các DNN vẫn phụ thuộc chủ yếu vào dữ liệu học tập. Do vậy, theo Bengio, các AI cần phải được học trong những môi trường giàu có hơn, giúp chúng khám phá nhiều hơn. Ví dụ: Đa số các hệ thống thị giác máy tính đều không biết rằng lon bia có dạng hình trụ do dữ liệu huấn luyện cho chúng chỉ chưa các hình ảnh 2D. Đây cũng là lí do tại sao Nguyen và các đồng nghiệp có thể dễ dàng đánh lừa những DNN, chỉ bằng cách thay đổi góc nhìn sự vật. Và điều này có thể được cải thiện bằng cách sử dụng các môi trường huấn luyện 3D – có thể là thật hoặc mô phỏng.

Tuy nhiên, AI cũng cần thay đổi cách thức học. “Để có thể học thường thức, các nhân tố AI cần phải thực sự hoạt động, thí nghiệm, và khám phá thế giới,” Bengio nói. Ngoài ra, Jürgen Schmidhuber, một nhà tiên phong khác trong lĩnh vực deep learning tại Viện Nghiên cứu AI Dalle Molle, Manno, Thụy Sĩ, cũng đồng tình với quan điểm này. Ông thừa nhận, nhận diện các xu thế là một khả năng rất mạnh mẽ, đủ mạnh để đẩy các giá trị công ty như Alibaba, Tencent, Amazon, Facebook, và Google lên hàng đầu thế giới. Tuy nhiên, ông tin rằng, sẽ sớm có một làn sóng lớn hơn. “Và làn sóng này sẽ là những máy móc có thể kiểm soát thế giới, và tự tạo ra dữ liệu thông qua hành động”, Schmidhuber bày tỏ.

Các AI sử dụng học tăng cường để chiến thắng các trò chơi điện tử cũng có thể được coi là đang thực hiện những điều trên trong các môi trường giả lập. Cụ thể, những AI này học từ thử nghiệm và rút kinh nghiệm, qua đó chi phối các pixel trên màn hình theo những hình thức được cho phép, từ đó đạt được mục tiêu. Tuy nhiên, môi trường thực tiễn lại phức tạp hơn rất nhiều so với các môi trường giả lập thường được sử dụng để huấn luyện DNN.

(Còn nữa…)

Theo Nature

Tin liên quan: