Investigadores de la Universidad Ben-Gurion han propuesto un método innovador llamado PEAS, o Perception Exploration Attack Strategy, que optimiza la transferibilidad de ataques adversarios en modelos de aprendizaje automático. Este avance aborda un desafío persistente en la seguridad de sistemas de inteligencia artificial: cómo efectuar ataques adversarios efectivos sin conocer los detalles internos del modelo objetivo, un escenario conocido como ataque de caja negra.

La estrategia PEAS se enfoca en explotar equivalencias perceptuales, es decir, la generación de imágenes imperceptiblemente alteradas que mantienen el efecto adversario mediante sutiles aumentos de imagen, como pequeños desplazamientos de píxeles. Este proceso introduce variaciones en una imagen de entrada que son prácticamente invisibles para un observador humano pero que alteran significativamente su transferencia adversaria.

Para implementar PEAS, se generan múltiples versiones de una imagen de entrada mediante la función de muestreo, que aplica transformaciones como recortes y cambios sutiles de color. Estas variaciones son luego atacadas usando modelos sustitutos, seleccionando finalmente el ejemplo adversario que promete un mayor nivel de transferibilidad hacia el modelo objetivo.

Las investigaciones demuestran que este proceso puede incrementar las tasas de éxito de ataques en un promedio de 2.5 veces en comparación con métodos tradicionales de ranking, lo cual es particularmente notable en bases de datos como ImageNet y CIFAR-10. Cada componente de PEAS ha sido evaluado rigurosamente para definir su contribución específica a la efectividad del ataque.

Un aspecto distintivo de PEAS es su capacidad para doblar el rendimiento de los ataques de caja negra existentes. Esto representa una mejora significativa sobre métodos de clasificación basados en ranking, donde las tasas de éxito eran limitadas. Además, PEAS soluciona el problema de la alineación de gradientes que anteriormente limitaba la transferencia de ejemplos adversarios.

Esta investigación destaca los riesgos de seguridad que enfrentan los sistemas de IA frente a ataques adversarios mejorados, subrayando la urgencia de desarrollar estrategias de defensa más robustas y efectivas. PEAS representa un avance prominente en la comprensión y ejecución de estos ataques, enfatizando la importancia de la exploración perceptual en la mejora de la transferibilidad adversaria. Esta innovación no solo amplía el ámbito de los ataques potenciales, sino que desafía a los investigadores a reforzar las barreras que protegen los sistemas de IA comerciales, reflejando el continuo tira y afloja entre ofensiva y defensiva en la seguridad tecnológica.