ACM與IEEE雙Fellow、華人女電腦科學家周以真：可信 AI，未來可期

• 2021 年 10 月 12 日
• AI

編譯 | 杏花

對於某些任務，人工智慧系統已經取得足夠好的表現，可以部署在我們的道路和家裡。比如，物體識別可以幫助汽車識別道路；語音識別則有助於個性化語音助手（如Siri和Alexa）交流。對於其他任務，人工智慧系統的表現甚至超過了人類，AlphaGo 就是第一個擊敗世界最強圍棋選手的電腦程式。

人工智慧的前景廣闊。它們將開我們的車，它們將幫助醫生更準確地診斷疾病，它們將幫助法官做出更加一致的法庭裁決，它們將幫助僱主聘用更合適的求職者。

然而，我們也知道這些人工智慧系統可能是不堪一擊且不公正的。在停車標誌上塗鴉可以騙過分類器使其認為這不是停車標誌。向良性皮膚病變的影像中加入噪音也會欺騙分類器，使其誤以為是惡性的。美國法院使用的風險評估工具已被證明對黑人持有偏見，企業的招聘工具也被證明歧視女性。

那麼，我們如何才能兌現人工智慧帶來好處的承諾，同時解決這些對人類和社會來說生死攸關的情況呢？簡而言之，我們怎樣才能實現可信AI？

本文的最終目的是團結電腦社區，通過來自多個研究社區和利益相關者的專業知識和情感，來支援一個關於可信AI的廣泛且長期的研究項目。本文側重於解決三個關鍵研究社區的問題，原因如下：可信AI在可信計算的基礎上增加了新的所需屬性；人工智慧系統需要新的形式和技術，尤其是數據的使用提出了全新的研究問題；人工智慧系統可能會受益於對確保可信度的正式方法的審查。通過將可信計算、形式方法和人工智慧領域的研究人員聚集在一起，我們的目標是在可信AI領域內培育一個跨學術界、產業界和政府的新型研究社區。

周以真（英文名Jeannette M. Wing），美國電腦科學家，曾任卡內基-梅隆大學教授。美國國家自然基金會計算與資訊科學工程部助理部長。ACM和IEEE會士。她的主要研究領域是形式方法、可信計算、分散式系統、程式語言等。現為哥倫比亞大學數據科學研究院主任、電腦科學教授，其長期研究興趣主要集中於網路安全、數據隱私以及人工智慧。

具有里程碑意義的1999年國家科學院網路空間信任（Trust in Cyberspace 1999 National Academies）報告奠定了可信計算的基礎，此後，可信計算持續成為一個活躍的研究領域。

大約在同一時期，美國國家科學基金會（National Science Foundation）啟動了一系列關於信任的項目。從始於2001年的可信計算（Trusted Computing）為起點，到2004年的網路信任（Cyber Trust），再到2007年的可信賴計算（Trustworthy Computing），以及2011年的安全可信的網路空間（Secure and Trustworthy Cyberspace），計算機和資訊科學與工程理事會（Computer and Information Science and Engineering Directorate）已經發展成可信計算的學術研究社區。雖然它源於電腦科學社區，但現在支援可信計算的研究已跨越了美國國家科學基金會的多個部門，並涉及許多其他資助組織，包括通過網路和資訊技術研究與發展（NITRD）計劃和20個聯邦機構。

產業界也一直是可信計算的領導者和積极參与者。在比爾·蓋茨2002年1月的「可信計算（Trustworthy Computing）」備忘錄中，微軟向它的員工、客戶、股東和其他資訊技術部門傳達了可信軟體和硬體產品的重要性。它提到了微軟內部的一份白皮書，該白皮書確定了信任的四個支柱：安全、隱私、可靠和商業誠信。

經過 20 年的投資和研發進步，「可信」已經意味著一組（重疊的）屬性：

• 可靠性：系統做正確的事情嗎？

• 安全性：系統沒有危害嗎？

• 保密性：系統是否容易受到攻擊？

• 隱私性：系統是否保護個人的身份和數據?

• 可用性：當人類需要訪問系統時，系統是正常的嗎？

• 實用性：人類可以輕鬆使用它嗎?

我們希望這些屬性存在於硬體和軟體等計算系統中，以及存在於這些系統與人類和物理世界的交互。在過去的幾十年里，學術界和產業界在可信計算方面取得了巨大的進步。然而，隨著技術的進步和對手變得越來越複雜，可信計算仍然是一個艱難的夢想。

人工智慧系統在利益屬性方面提高了標準。除了與可信計算相關的屬性(如前所述)，我們還需要(重疊的)屬性，例如：

• 準確性：與訓練和測試過的數據相比，人工智慧系統在新的（不可見的）數據上表現如何?

• 魯棒性：系統的結果對輸入的變化有多敏感?

• 公平性：系統的結果是否公正?

• 問責制：什麼人或什麼物對系統的結果負責?

• 透明度：外部觀察員是否清楚系統的結果是如何產生的?

• 可理解性/可解釋性：系統的結果是否可以通過人類可以理解和/或對最終用戶有意義的解釋來證明？

……和其他尚未確定的屬性。

機器學習社區將準確性視為黃金標準，但可信AI要求我們在這些屬性之間進行權衡。比如，我們也許願意為了部署一個更公平的模型而捨棄一些準確性。此外，上述的某些屬性可能有不同的解釋，最終導致不同的形式。例如，有許多合理的公平概念，包括人口平等、機會均等和個人公平等等，這其中的一些概念彼此並不相容。

傳統的軟體和硬體系統由於其規模和組件之間的交互數量而變得複雜。在大多數情況下，我們可以根據離散邏輯和確定性狀態機來定義它們的行為。

今天的人工智慧系統，尤其是那些使用深度神經網路的系統，給傳統的電腦系統增加了一個複雜的維度。這種複雜性是由於它們固有的概率性質。通過概率，人工智慧系統對人類行為和物理世界的不確定性進行建模。更多機器學習的最新進展依賴於大數據，這增加了它們的概率性質，因為來自現實世界的數據只是概率空間中的點。因此，可信AI必然會將我們的注意力從傳統計算系統的主要確定性本質轉向人工智慧系統的概率本質。

從驗證到信任

我們如何設計、執行和部署人工智慧系統，使其值得信賴?

在計算系統中建立最終用戶信任的一種方法是形式驗證，其中屬性在一個大域中得到一勞永逸的證明，例如，對一個程式的所有輸入或者對於並發或分散式系統的所有行為。或者，驗證過程識別出的反例，例如，一個輸入值，其中程式產生錯誤的輸出或行為未能滿足所需屬性，從而提供關於如何改進系統的有價值的回饋。形式驗證的優點是無需逐一測試單個輸入值或行為，這對於大型（或無限）狀態空間是不可能完全實現的。例如，在驗證快取一致性協議和檢測設備驅動程式錯誤等形式方法的早期成功案例，導致了它們今天的可擴展性和實用性。這些方法現用於硬體和軟體行業，例如，英特爾、IBM、微軟和亞馬遜。由於形式方法語言、演算法和工具的進步以及硬體和軟體的規模和複雜性的增加，在過去的幾年裡，我們已經看到了人們對形式驗證產生的新一輪興趣和興奮，特別是在確保系統基礎設施關鍵組件的正確性方面。

形式驗證是一種提供可證保證的方式，從而增加人們對系統將按預期運行的信任。

從傳統的形式方法到人工智慧的形式方法。在傳統的形式方法中，我們想要證明一個模型M滿足（）一個屬性P。

M是要驗證的對象，它可以是一個程式，也可以是一個複雜系統的抽象模型，例如，並發的、分散式的或反應性的系統。P是用某種離散邏輯表示的正確性屬性。例如，M可能是使用鎖進行同步的並發程式，而P可能是「無死鎖」的。M 是無死鎖的證明意味著 M 的任何用戶都確信 M 永遠不會達到死鎖狀態。為了證明M滿足P，我們使用了形式化的數學邏輯，這是當今可擴展和實用的驗證工具的基礎，如模型檢驗器、定理證明器和可滿足模理論（SMT）求解器。

特別是當M是一個並發的、分散式或反應式的系統時，在傳統的形式方法中，我們經常在驗證任務的制定中明確添加系統環境 E 的規範:

例如，如果M是一個並行進程，那麼E可能是另一個與M交互的進程（然後我們可以寫成E || mp，其中||代表並行組合）。或者，如果M是設備驅動程式程式碼，則E可能是作業系統的模型。又或者，如果M是一個控制系統，E則可能是關閉控制迴路的環境模型。編寫E的規範是為了明確關於系統驗證環境的假設。

對於驗證人工智慧系統，M可以解釋為一個複雜的系統，例如自動駕駛汽車，其中包含一個機器學習模型的組件，比如電腦視覺系統。在這裡，我們想要證明P，打個比方，在E（交通、道路、行人、建築物等）的背景下，相對於M（汽車）的安全性或穩健性。我們可以把證明P看作是證明一個「系統級」屬性。Seshia等人用這個觀點闡述了形式規範的挑戰，其中深度神經網路可能是系統M的黑盒組件。

但是，對於機器學習模型我們能斷言什麼呢？比如，DNN是這個系統的關鍵組成部分？我們是否可以驗證機器學習模型本身的穩健性或公平性？是否有白盒驗證技術可以利用機器學習模型的結構？回答這些問題會帶來新的驗證挑戰。

驗證：機器學習模型M。為了驗證ML模型，我們重新解釋了M和P，其中M代表機器學習模型。P代表可信的屬性，例如安全性、穩健性、隱私性或公平性。

與傳統的形式方法相比，驗證人工智慧系統提出更多的要求。這裡有兩個關鍵的區別：機器學習模型固有的概率性質和數據的作用。

M和P的固有的概率性質，因此需要概率推理()。ML模型M本身在語義和結構上都不同於典型的電腦程式。如前所述，它具有內在的概率性，從現實世界中獲取輸入，這些輸入可能被數學建模為隨機過程，併產生與概率相關的輸出。在內部，模型本身是基於概率的；例如，在深度神經網路中，邊緣上的標籤是概率，節點根據這些概率計算函數。從結構上講，因為機器生成了 ML 模型，所以 M 本身不一定是人類可讀或可理解的；粗略地說，DNN是由if-then-else語句組成的複雜結構，人類不太可能編寫這種語句。這種「中間程式碼」表示在程式分析中開闢了新的研究方向。

屬性P本身可以在連續域而非（僅）離散域上表述，和/或使用來自概率和統計的表達式。深度神經網路的穩健性被描述為對連續變數的預測，而公平性的特徵是關於相對於實數的損失函數的期望（具體參見Dwork等人的研究）。差分隱私是根據相對於（小）真實值的概率差異來定義的。請注意，就像可信計算的實用性等屬性一樣，可信 AI 系統的一些所需屬性，例如透明度或道德感，尚未形式化或可能無法形式化。對於這些屬性，一個考慮法律、政策、行為和社會規則和規範的框架可以提供一個環境，在這個環境中可以回答一個可形式化的問題。簡而言之，人工智慧系統的驗證將僅限於可以形式化的內容。

形式驗證是一種提供可證保證的方式，從而增加人們對系統將按預期運行的信任。

這些固有的概率模型M和相關的所需信任屬性P需要可擴展的和/或新的驗證技術，這些技術適用於實數、非線性函數、概率分布、隨機過程等等。驗證人工智慧系統的一個墊腳石是資訊物理系統社區使用的概率邏輯和混合邏輯（參見Alur等人，Kwiatkowska等人和Platzer）。另一種方法是將時間邏輯規範直接集成到強化學習演算法中。更具挑戰性的是，這些驗證技術需要對機器生成的程式碼進行操作，尤其是本身可能無法確定生成的程式碼

數據的作用。也許，傳統形式驗證和人工智慧系統驗證之間更重要的區別在於數據的作用，用於訓練、測試和部署ML模型的數據。今天的ML模型是根據數據集D構建和使用的。為了驗證ML模型，我們提出對該數據的明確假設，並將驗證問題表述為:

數據分為可用數據和不可見數據，其中可用數據為手頭數據，用於培訓和測試M；而不可見數據是M需要（或期望）在之前沒有見過的情況下對其進行操作的數據。構建M背後的整個想法是，基於訓練和測試的數據，M能夠對從未見過的數據做出預測，且這個預測通常在一定程度上是準確的。

明確數據的作用提出了新的規範和驗證挑戰，可大致分為以下幾類，以及其相關的研究問題：

可用數據的收集和分區:

對於給定的屬性P，需要多少數據才能建立一個模型M？深度學習的成功案例告訴我們，在準確性方面，數據越多，模型就越好，但其他屬性呢？添加更多的數據來訓練或測試M是否會使它更穩健、更公平？或者它對屬性P沒有影響？如果所需的屬性不成立，需要收集哪些新數據？

我們如何將可用（給定）數據集劃分為訓練集和測試集？在構建模型 M 時，我們可以根據所需的屬性 P 對這種劃分做出什麼保證？如果我們同時針對多個屬性訓練模型，我們是否會以不同的方式拆分數據？如果我們願意用一種屬性交換另一種屬性，我們會以不同的方式來拆分數據嗎？

指定不可見數據：在形式化方法框架D中包含D，M P使我們有機會明確地陳述關於不可見數據的假設。

我們如何指定數據和/或描述數據的屬性？例如，我們可以將D指定為一個隨機過程，它產生需要驗證ML模型的輸入。或者我們可以把D定義為數據分布。對於常見的統計模型，例如正態分布，我們可以根據其參數（例如均值和方差）指定 D。概率程式語言，例如 Stan，可能是指定統計模型的起點。但是，如果真實世界的大型數據集不符合常見的統計模型，或者有成千上萬的參數，又該怎麼辦呢?

根據定義，在指定不可見的數據時，我們需要對不可見數據做出某些假設。這些假設會不會和我們一開始建立模型M時所做的假設一樣呢？更重要的是：我們如何信任D的規範？這種看似邏輯的僵局類似於傳統驗證中的問題，給定一個M，我們需要假設元素的規範E和MP中元素E和P的規範是「正確的」。那麼在驗證過程中，我們可能需要修改E和/或P（甚至M）。為了打破現有的循環推理，一種方法是使用不同的驗證方法來檢查 D 的規範；這種方法可以借鑒一系列統計工具。另一種方法是假設初始規範足夠小或足夠簡單，可以通過（例如，手動）檢查進行檢查；然後我們使用這個規範引導一個迭代的細化過程。（我們從形式方法的反例引導抽象和細化方法中獲得靈感。）這種細化過程可能需要修改D、M和/或P。

不可見數據的規範與M接受訓練和測試的數據規範有何關聯？

形式方法社區最近一直在探索人工智慧系統的穩健性，特別是用於自動駕駛汽車的影像處理系統。

在傳統的驗證中，我們的目標是證明屬性P，一個普遍量化的語句：例如，對於整型變數x的所有輸入值，程式將返回一個正整數；或者對於所有執行序列x，系統不會死鎖。

因此，證明ML模型M中的P的第一個問題是：在P中，我們量化了什麼？對於要在現實世界中部署的ML模型，一個合理的答案是對數據分布進行量化。但是ML模型僅適用於由現實世界現象形成的特定分布，而不適用於任意分布。我們不想為所有的數據分布證明一個屬性。對於我們在證明M的信任屬性時所量化的內容和數據所代表的內容之間的差異，這種見解導致了這個新的規範問題：

對於給定的 M，我們如何指定 P 應該保持的分布類別？以穩健性和公平性作為兩個例子：

對於魯棒性，在對抗性機器學習設置中，我們可能想證明M對所有範數有界的擾動D是穩健的。更有趣的是，我們可能想證明M對於手頭任務的所有「語義」或「結構」擾動都是穩健的。例如，對於一些視覺任務，我們想要考慮旋轉或使影像變暗，而不是僅僅改變任何舊像素。

對於公平性，我們可能想證明ML模型在給定數據集和所有「相似」（對於「相似」的正式概念）的所有不可見數據集上是公平的。訓練一種招聘工具，以決定在一個群體的申請者中面試誰，在未來的任何人群中都應該是公平的。我們如何指定這些相關的分布?

為了構建一個既穩健又公平的分類器，Mandal等人展示了如何調整在線學習演算法，以找到對一類輸入分布公平的分類器。

驗證任務：一旦我們有了D和P的規範，給定一個M，我們就需要驗證M滿足P，給定我們對D中可用和不可見數據的任何假設，使用我們手頭上的任何邏輯框架。

我們如何檢查可用的數據以獲得所需的屬性？比如說，如果我們想要檢測一個數據集是否公平，我們應該檢查數據集的哪些方面？

如果我們發現屬性不存在，我們如何修復模型、修改屬性，或者決定收集哪些新數據來重新訓練模型？在傳統的驗證中，生成一個反例，例如，一個不滿足P的執行路徑，有助於工程師調試他們的系統和/或設計。在ML模型的驗證中，「反例」的等效物是什麼？我們如何使用它？

我們如何利用不可見數據的顯式規範來幫助驗證任務？就像在驗證任務E, M P中明確環境規範E一樣，我們如何利用明確的D規範？

我們如何擴展標準驗證技術來操作數據分布，也許可以利用我們形式上指定不可見數據的方式？

這兩個關鍵的區別——M的固有概率性質和數據D的作用——為形式方法社區提供了研究機會，以推進人工智慧系統的規範和驗證技術。

相關工作。形式方法社區最近一直在探索人工智慧系統的穩健性，特別是用於自動駕駛汽車的影像處理系統。最先進的VerifAI系統探索了自動駕駛汽車穩健性的驗證，依靠模擬來識別執行軌跡，其中網路物理系統（例如，自動駕駛汽車）的控制依賴於嵌入式 ML 模型可能出錯。ReluVal和Neurify等工具研究了DNN的穩健性，特別是應用於自動駕駛汽車的安全性，包括自動駕駛汽車和飛機防撞系統。這些工具依靠區間分析來減少狀態探索，同時仍然提供強有力的保證。在F1/10賽車平台上，使用Verisig驗證基於DNN的控制器的安全性的案例研究為比較不同的DNN配置和輸入數據的大小提供了基準，並識別了模擬和驗證之間的當前差距。

FairSquare2使用概率驗證來驗證ML模型的公平性。LightDP60將概率性程式轉換為非概率性程式，然後進行類型推斷以自動驗證不同隱私的隱私預算。

這些工具都體現了可信AI的精神，但每一個工具都只關注一個屬性。將他們的底層驗證技術擴展到工業規模的系統仍然是一個挑戰。

額外的形式方法機會。今天的人工智慧系統是為了執行特定任務而開發的，例如識別人臉或下圍棋。我們如何考慮已部署的ML模型在規範和驗證問題中要執行的任務？例如，考慮顯示進行影像分析的ML模型M的穩健性：對於識別道路上的汽車的任務，我們希望M對任何一側有凹痕的汽車影像都是穩健的；但對於汽車生產線的品質控制任務，我們就不會這麼做。

之前，我們主要關注形式方法中的驗證任務。但形式方法的機制最近也成功地用於程式合成。與其對模型 M 進行事後驗證，我們能否首先開發一種「構建正確」的方法來構建 M？例如，我們是否可以在訓練和測試M時添加所需的可信屬性P作為約束，以保證P在部署時成立（可能適用於給定的數據集或一類分布）？這種方法的一種變體是通過在每個步驟檢查演算法不會不滿足不希望行為來指導 ML 演算法設計過程。類似地，安全強化學習解決決策過程中的學習策略，其中安全性作為優化的一個因素或探索的外部約束。

本文開頭列舉的有關可信AI的一系列屬性並不實用，但每個屬性對於建立信任都至關重要。擺在研究介面前的一項任務是制定出這些屬性的共性，然後可以在一個共同的邏輯框架中指定這些共性，類似於使用時間邏輯來指定安全性（「沒有壞事發生」）和活躍性（「最終有好事發生」）用來推理並發和分散式系統的正確性屬性。

組合推理使我們能夠對大型複雜系統進行驗證。如何驗證AI系統的屬性「提升」組件以顯示該屬性適用於系統？相反地，我們該如何將AI系統分解成多個部分，根據給定屬性驗證每個部分，並斷言這個屬性對於整體成立？哪些屬性是全局的（避免組合），哪些是局部的？數十年來，對組合規範和驗證的形式化方法的研究為我們提供了一個很好的起點，即辭彙和框架。

統計學在模型檢查和模型評估方面有著豐富的歷史，使用的工具包括敏感性分析、預測評分、預測檢查、殘差分析和模型批評等。為了驗證ML模型滿足所需屬性，這些統計方法可以補充形式驗證方法，就像測試和模擬補充計算系統的驗證一樣。更相關的是，正如前面提到的「數據的作用」中所述，它們可以幫助評估用於指定D，M P問題中不可見數據D的任何統計模型。形式方法社區的一個機會是將這些統計技術與傳統的驗證技術相結合（有關這種組合的早期工作，請參考 Younes 等人的研究）。

構建可信AI社區

正如可信計算一樣，形式方法只是確保增加人工智慧系統信任的一種方法。社區需要探索多種方法，尤其是組合方法，以實現可信AI。其他方法包括測試、模擬、運行時監視、威脅建模、漏洞分析，以及對程式碼和數據進行等效的設計和程式碼審查。此外，除了技術挑戰，還有社會、政策、法律和倫理方面的挑戰。

2019年10月30日至11月1日，哥倫比亞大學數據科學研究所主辦了由 DSI 行業附屬機構 Capital One 贊助的關於可信AI的首屆研討會。它彙集了來自形式方法、安全和隱私、公平和機器學習的研究人員。來自業界的發言者對學術界正在追求的各種問題和方法進行了現實檢驗。與會者確定了研究面臨的挑戰領域，包括:

• 規範和驗證技術；

• 「正確構建」技術；

• 新的威脅模型和系統級對抗性攻擊；

• 審核考慮可解釋性、透明度和責任等屬性的人工智慧系統的流程；

• 檢測偏差和去偏差數據的方法、機器學習演算法及其輸出；

• 試驗可信屬性的系統基礎設施；

• 理解人為因素，例如，機器在哪些方面影響人類行為；

• 理解社會因素，包括社會福利、社會規範、道德、倫理和法律。

許多推動機器學習和人工智慧前沿的科技公司並沒有坐以待斃。他們意識到可信AI對他們的客戶、業務和社會福利的重要性，主要關注的是公平性。IBM的AI Fairness 360提供了一個開源工具包，用於檢查數據集和機器學習模型中不必要的偏見。Google的TensorFlow工具包提供了「公平性指標」，用於評估二元和多類分類器的公平性。微軟的 Fairlearn 是一個開源包，供機器學習開發人員評估其系統的公平性並減輕觀察到的不公平。在2018年的F8大會上，Facebook宣布了其Fairness Flow 工具，旨在「衡量對特定群體的潛在偏見」。本著行業和政府合作的精神，亞馬遜和美國國家科學基金會自 2019 年開始合作資助「人工智慧公平」計劃。

2016年，美國國防部高級研究計劃局（DARPA）通過啟動可解釋人工智慧 （XAI） 計劃，專註於可解釋性。該計劃的目標是開發新的機器學習系統，可以「解釋其基本原理、描述其優勢和劣勢，並傳達其對未來表現的理解。」有了可解釋性，終端用戶就會更加相信並採納系統的結果。

通過安全可信的網路空間計劃（Secure and Trustworthy Cyberspace Program），國家科學基金會資助了一個由賓夕法尼亞州立大學領導的可信賴機器學習中心，來自斯坦福大學、加州大學伯克利分校、加州大學聖地亞哥分校、弗吉尼亞大學和威斯康星大學的研究人員也參與其中。他們的主要重點是解決對抗性機器學習，補充之前概述的形式方法。（為了充分披露，本文作者是該中心顧問委員會成員。）2019年10月，美國國家科學基金會宣布了一項資助國家人工智慧研究所的新計劃。它命名的六個主題之一是「可信AI」，強調可靠性、可解釋性、隱私性和公平性等屬性。

NITRD關於人工智慧和網路安全的報告明確呼籲對人工智慧系統的規範和驗證以及可信的人工智慧決策進行研究。最後，在2020年12月，白宮簽署了一項關於可信AI的行政命令，為美國聯邦機構在其服務中採用人工智慧提供指導，並促進公眾對人工智慧的信任。

正如可信計算一樣，政府、學術界和產業界正在共同推動可信AI的新研究議程。我們正加大對這一聖杯的賭注！

雷鋒網