Non so se ricordate i tempi durante i quali sui monitor vedevate tante piantine, di solito cactus, che venivano piazzate da persone convinte di “assorbire le radiazioni cattive”. Si trattava di una bufala cui credevano in genere persone dalla cultura umanistica, tipo avvocati, commercialisti, grafici, segretarie, ed altro. Chiaramente qualcuno ci faceva i soldi, proprio sfruttando quest’ignoranza. Siamo di nuovo a questo punto, ma con la AI.
Vedo fiorire degli articoli, alcuni dei quali citano studi universitari, che propongono sistemi “per confondere la AI” e quindi proteggere il proprio “copyright”.
Inutile dire che non funzionano, ovvero funzionano solo nelle condizioni dell’esperimento, in un setup del tutto accademico. Il setup accademico e’ ovviamente limitato dai fondi, nessun’universita’ ha a disposizione le risorse di OpenAI, e quindi e’ il setup stesso a dare loro l’impressione di aver combinato qualcosa, pur senza aver scoperto qualcosa di rilevante in ambito pratico.
Ho provato a leggere qualcuna di queste “scoperte”, e noto alcune cose che non mi piacciono: gli articoli sembrano scritti come se qualcuno avesse scritto un articolo sulla capacita’ di alcune piante di assorbire i raggi X. Se io passo questo articolo a qualcuno che NON sa che i raggi X si propagano in linea retta , questa persona potrebbe anche concludere che un cactus SOPRA il monitor potrebbe intercettare i raggi X che vanno dal monitor alla persona. E’ ovvio che se i cactus fermassero i raggi X, e il vostro problema e’ il vostro monitor CRT, dovreste metterli TRA voi e il monitor.
Ma se beccate una persona che vede le radiazioni come una nube di gas che sta nella stanza, allora avere dei cactus in un punto qualsiasi potrebbe assorbire la nuvoletta.
Questi studi sull’uso dei watermark invisibili per “disorientare” la AI fanno la stessa cosa: sfruttano il fatto che gli umanisti in questione credono che la memoria della AI sia un processo lineare.
Andiamo a vedere dove sbagliano. Per prima cosa, la differenza tra XAI e AI. XAI indica una Explainable Artificial Intelligence, ovvero un’intelligenza artificiale che puo’ essere capita dagli esseri umani.
Significa che dopo il percorso di apprendimento, noi prendiamo i dati che la AI ha “capito” nel processo di deep learning, e leggendoli capiamo “cosa ci ha capito”. Non e’ che sia impossibile, intuitivamente, capire cosa ci abbia capito quando la ai non e” “explainable”. Osservando il comportamento A VOLTE si puo’ dedurre qualcosa.
Ma in generale, se parliamo di LARGE Language Models, o di VERY LARGE language models, o di modelli come Stable Diffusion XL, o come DELL-E , la quantita’ di dati immessa e’ cosi’ grande che in generale NON si tratta di AI “Explainable”.
Cosa significa?
Significa che se io vado ad addestrare la AI usando foto di Valentina Nappi , e uso SOLO fotografie di Valentina Nappi come addestramento, posso tranquillamente dedurre che abbia imparato come appare Valentina Nappi.
Ma se io “apro” l’embedding , non ci trovo Valentina Nappi, O meglio, non trovo NULLA che IO potrei associare a Valentina Nappi. Se per esempio io addestrassi una IA solo con fotografie di Valentina Nappi, e una SOLO di fotografie di Gianna Michaels, e poi dessi a qualcuno i rispettivi embedding, nessun essere umano saprebbe dirmi “questo e’ chiaramente l’embedding di Valentina Nappi”, e questo no.
Ovvero, queste AI non sono “eXplainable”. Perche’ e’ importante?
E’ importante perche’ qualcuno sta credendo davvero che se la AI si addestra su degli esempi, usando le loro opere come esempio, “aprendo la AI” io ci trovero’ le loro opere.
Sbagliato: non ci trovero’ niente di umanamente intelleggibile.
Per cui falliranno TUTTE le cause per “plagio”.
Queste persone credono , quindi, che se loro opere vengono salvate durante l’apprendimento, la AI ne conservi una copia. No. La AI non vede assolutamente le opere usando una visione umana, per loro le immagini sono tabelle di numeri, e quindi non c’e’ modo che l’opera come la percepiamo noi sia contenuta o preservata nella AI.
Ne deriva che non esiste alcun modo di difendere i diritti dal “plagio”, perche’ non esiste alcuna tecnica nota per sapere, o capire, che “dentro” la AI ci sia la vostra opera. Non si tratta di XAI, quindi non sono Explainable. Se fossero XAI allora potreste determinarlo.
Detto questo, perche’ quelle cose sembrano funzionare nei paper? Perche’ l’accademia pubblica i paper per ottenere finanziamenti, e nessuno va a giudicare l’onesta’ intellettuale del paper stesso? E’ quindi possibile, se siete furbi, pubblicare paper che sembrano dire quello che intendete sostenere, senza vistosi errori perche’ la cazzata che state dicendo non deriva da quello che c’e’ nel paper, ma da quello che non c’e’.
Cosa fanno questi “studiosi”?
Allora , prendiamo una AI che si addestra SOLO con le immagini di Valentina Nappi. Lo scopo e’ riprodurre una foto di Valentina Nappi, il che richiede che quando la macchina si sente dire “Valentina Nappi”, sappia associarla a qualcosa.
Se associamo alla parola “Valentina Nappi” una serie di fotografie che la ritraggono al lavoro, la macchina imparera’ che Valentina Nappi e’ bionda, che ha la pelle abbastanza chiara, che ha gli occhi castani, e tutte le caratteristiche morfologiche visibili nelle foto.
Adesso supponiamo che, rigorosamente e sistematicamente, in un punto della foto mettiamo una piccola “B” rossa. Lo mettiamo in fondo a destra.
Quando avviene il machine learning, il processo vedra’ che Valentina ha e’ mora, tranne quella volta che magari si e’ fatta bionda. Vedra’ che ha un culo molto rotondo, magari tranne quei mesi ove era dimagrita un po’. Ma tutte le foto hanno una piccola B rossa in fondo a destra.
La macchina selezionera’ l’informazione piu’ determinante, regolare, frequente, che e’ la B rossa. Da quel momento, per la macchina Valentina Nappi sara’ principalmente una B rossa sull’angolo destro.
Se ho solo foto della Nappi nel sample, chiaramente ci saranno altre informazioni che sono costanti, tipo che e’ una donna, eccetera. Ma se scansiono MOLTE immagini, non tutte di Valentina Nappi, ma negli esempi marco come “Valentina Nappi” solo foto con la B rossa , quasi sicuramente la macchina decidera’ che “Valentina Nappi e’ una B rossa”.
Questo e’ quello che fanno i signori accademici che pubblicano questi articoli. Cosa significa?
Questi signori usano una tecnica di watermarking steganografico, ovvero disegnano qualcosa (un marchio, un’immagine diversa, eccetera) nelle frequenze meno significative dell’immagine stessa. Cosa significa “meno significative”? Significa che se vi faccio vedere una foto della Nappi al lavoro, voi alla B rossa non ci fate proprio caso.
Allo stesso modo, loro nascondono questi “marchi” dentro i bit che rappresentano il colore meno usato. Insomma, c’e’ ma voi non ci fate caso , perche’ il vostro occhio lo ignora.
Quando tutte le immagini che hanno come soggetto l’opera di un certo autore hanno questo marchio, la AI imparera’ ad associare il nome dell’autore al watermark. E se gli chiedete di fare una cosa , che so io, “Fammi Valentina Nappi nello stile di H.R.Giger”, se Giger avesse usato un watermarking steganografico, comparirebbe solo il watermarking steganografico.
Questa innovazione viene percepita come una cosa che “protegge l’opera dalla riproduzione non autorizzata da parte delle AI”. Sono puttanate.
Faccio una lista di ragioni.
- Questa tecnica non protegge l’immagine, ma il watermark.
Mi spiego meglio. Vogliamo addestrare una AI a riconoscere le pornostar italiane. Bene. Valentina Nappi ha messo la B rossa in tutte le sue foto. Ma tutte le altre attrici non lo hanno fatto. Quando io scrivo “disegnami una pornostar italiana”, la B rossa verra’ filtrata a favore di tutto quello che le pornostar italiane hanno in comune.
Siccome le AI categorizzano, e quando scrivete Valentina Nappi nel prompt , verra’ associate anche a Valentina Nappi, nei GRANDI modelli di addestramento la tecnica non funzionera’ piu’.
Non funzionera’ piu’ perche’ le AI hanno un meccanismo di Enforcement. Quindi quando voi direte “Fammi Valentina Nappi che fa anal con Chewbecca” nel produrre Valentina Nappi usera’ {valentina nappi, italian, milf, anal, big ass, brunette, big tits, etc} , cioe’ tutte le possibili etichette che le hanno dato in fase di addestramento, e non tutte queste etichette sono associate SOLO a lei. Quindi, la B rossa scomparira’, anche se fosse stata presente in TUTTE le foto iniziali della Nappi, semplicemente perche’ le etichette associate alla Nappi non la contengono sempre.
Il fenomeno dell’enforcement lo potete verificare nell’immagine di apertura: come vedete, rimanendo un po’ vaghi nel prompt, la B rossa e’ stata rimossa, e i tag associati che ho usato {valentina nappi, italian, curvy, milf, anal, big ass, brunette, big tits, etc} hanno trasformato “un pochino” la Nappi, unendo anche le caratteristiche di altre modelle.
Perche’ allora gli esperimenti funzionano? Perche’ queste universita’ NON possono usare le grandi AI commerciali (in quanto non hanno controllo sull’addestramento, che peraltro e’ stato gia’ eseguito) , e si installano il software “in casa”. Ma in questo modo, usano una potenza di calcolo piccolissima, un set di esempi limitatissimo, e quindi riescono ad indurre le AI in errore.
Il risultato e’ valido? Ovvio. E’ anche riproducibile.
Il risultato e’ pratico? Solo con piccole AI, che rientrano nei limiti di Budget dell’esperimento.
Il risultato e’ utile?
No. Assolutamente no. Non funziona su grandi modelli, e non funzionera’ MAI.
Qualche considerazione di fondo.
Il mondo accademico non e’ piu’ quel pozzo di onesta’ positivista che i fisici amano rappresentare. Il problema sono i fondi, e il meccanismo di finanziamento NON premia l’onesta’ intellettuale.
Sul piano burocratico, i trucchi che usano per fare “il sistema di protezione delle immagini contro la AI” funzionano nel loro esperimento.
Le regole, quindi, sono rispettate. Quello che NON vi dicono e’ che il loro esperimento e’, se non altro per ragioni di budget, MOLTO lontano dall’aver usare un LARGE model.
Questo genere di disonesta’ sta imperando nel mondo accademico, specialmente nell’ IT, col risultato che nell’ IT vedete sempre meno accademici. E il motivo e’ che questo modo di fare disonesto NON viene sanzionato attraverso dei meccanismi sistematici.
Anzi, esso paga: questi pseudo-paper finiscono sui giornali, vengono notati da chi distribuisce fondi, eccetera. Quindi oggi abbiamo un mondo della ricerca accademica il cui business model e’ produrre paper che non aggiungono niente a cio’ che sappiamo gia’, ma sono scritti per ottenere fondi.
Poi certo, i monitor si riempiono di cactus. E le immagini prodotte dai photoshoppari si riempiranno di watermark steganografici inutili. Ma se provate a farlo presente agli accademici, si allontaneranno fischiettando, e chiameranno i “debunkers”.
