強化学習で敵対的テキスト生成を改善する
新しい方法は効果的な敵対的サンプルを生成するために強化学習を使ってるよ。
― 1 分で読む
テキスト分類器を分類したり整理したりするために使うけど、特別に作られた例、いわゆる敵対的例に騙されちゃうことがあるんだ。これらはほんのちょっと変えられたオリジナルのテキストサンプルで、見た目には許容される感じ。元の手法では、どんな変更ができるかを決めて、それを探すっていう複雑なプロセスが必要だったけど、これだと時間がかかるし、選んだ変更のタイプに制限されるんだ。
敵対的例を生成する別の方法は、翻訳や要約みたいな他のタスクでやるのと似て、事前に学習された言語モデルを調整すること。これだとめっちゃ速くて、バリエーションも豊富だけど、まだあんまり使われてないんだ。この研究では、文を言い換えることができる機械学習モデルを使って、広範囲な敵対的例を作成してるよ。報酬をもらって良い結果を出すことで学ぶ強化学習を使ってて、正当な敵対的例を作ることを奨励する報酬システムも導入してる。実験結果を見ると、私たちのモデルは以前の方法よりも成功率の高い敵対的例を作るのに優れてることがわかったよ。
敵対的攻撃の説明
敵対的攻撃っていうのは、テキスト分類器が入力に対して間違ったラベルを予測するように仕向ける試みなんだ。これらの攻撃は色んな領域で起きる可能性があって、セキュリティにとっては本当にリスクになる。例えば、敵対的攻撃によってGoogle翻訳が攻撃的だったり意味不明な出力を出すかもしれないんだ。テキスト分類器の文脈では、攻撃者は正しくラベル付けされた例からスタートして、ちょっと変えて敵対的例に変えるんだ。この変更された例は、元のテキストに近くて文法的に意味を成す必要があるけど、どのルールが必要かは明確に合意されてない。
敵対的例を見つける一般的な方法は、トークン修正攻撃って呼ばれるもので、テキストの一部(トークン)を変更してモデルの予測が変わるまで繰り返すんだ。最初のステップは、成功した攻撃として何がカウントされるのか、どの変更が許可されるかを決めることだ。それから、これらの変更を探すための技術が使われる。
この方法は効果的だけど、かなりの欠点もあるんだ。一つは、特に長いテキストのときにとても遅くなること。犠牲モデルに何度も問い合わせる必要があるから。もう一つは、変更のタイプを制限することで、言い換えのようなもっと複雑な変換を妨げることだ。
別のアプローチは、敵対的例を一つのテキストから別のテキストに変換する問題として扱うことなんだ。これには翻訳や要約でよく使われるシーケンス・ツー・シーケンス(seq2seq)モデルが使える。この方法はトークン修正攻撃に比べていくつかの利点がある。例えば、一度学習したら、敵対的例をかなり速く生成できて、一つの入力に対して多様な例を作ることができる。
でも、制御されたテキストを生成するためにモデルをトレーニングするのはかなり難しいことがある。整合性があり、関連性があって、文法的に正しい文を生成するのが難しいこともある。私たちの場合、モデルは設定されたルールを守りつつ、予測ラベルを変更する必要があるんだ。
これらの課題に対処するために、私たちは敵対的例を作るために言い換えを生成する事前学習モデルを微調整するんだ。強化学習アプローチを使用して、成功した敵対的生成を奨励する報酬システムを含め、生成されたテキストの整合性を維持するようにしてるよ。
方法論
私たちの方法は、強化学習アルゴリズムの一種を使用してエンコーダ・デコーダモデルをトレーニングすることを含んでる。モデルは入力テキストの言い換えを生成するようにトレーニングされながら、感情分类器を誤った予測に導くことも目指してる。成功した敵対的例を生成することを促進する報酬関数を導入し、制約を違反した場合はペナルティを課すようにしてる。
トレーニングプロセスでは、犠牲モデルからの予測が必要だけど、他の情報は要らないから、ブラックボックスまたはグレー ボックス攻撃を実行できる。感情分析のデータセット2つを使って、このアプローチの成功を測定している。結果は、従来の方法に比べて成功率と生成された例の多様性の点で、私たちのアプローチが非常に優れていることを示しているよ。
関連研究
テキスト分類における敵対的攻撃は大きく分けて2つのカテゴリに分けられる: トークン修正攻撃と生成攻撃。
トークン修正攻撃
現在のテキストにおける敵対的攻撃はほとんどがトークン修正に依存している。これらの攻撃は通常、目標、許可された変換、満たすべき制約、および探索方法の4つの要素から成り立ってる。プロセスは、文字を置き換えたり同義語を入れ替えたりするようなトークンレベルの変換を繰り返し適用することで変更を生成することが多い。これらの方法は効果的だけど、通常は元の入力ごとに一つの敵対的例しか生成できないから、実用性の面で制限されてるんだ。
生成攻撃
過去の研究では生成モデルを使用して敵対的例を作成することを目指していたものもあった。長短期記憶ネットワークや変分オートエンコーダなど、いろんなモデルがこの目的で試された。敵対的生成ネットワーク(GAN)などの他の方法も探求されてきたけど、トレーニング中にかなりの課題に直面し、テキストの必要な特性を維持するのが難しいことが多いんだ。
トランスフォーマーモデルの導入によって、新しい強力なアプローチが生まれた。これらのモデルは大規模なデータセットで事前学習されていて、特定のタスクに合わせて微調整できる。以前の研究では、敵対的例を生成する目的で事前学習された言い換えモデルの微調整には焦点が当てられていなかったから、私たちのアプローチは新しいものなんだ。
提案アプローチ
私たちの研究の目的は、強化学習を利用して事前学習された言い換えモデルを微調整して敵対的例を生成することだ。この目的のために、T5トランスフォーマーモデルを使用するよ。
トレーニング設定
トレーニング中は、元の例ごとに一つの言い換えを生成する。これらの言い換えをバッチにまとめて損失関数を計算する。検証中は、異なるデコーディング方法を使って任意の元の入力に対して複数の候補の敵対的例を生成できる。このプロセスでは、生成された例のうちの一つが指定された制約を満たすと攻撃が成功したとみなす。
攻撃の成功率を生成時間とリソースの制約とバランスを取るために、元の例ごとに固定数の言い換えを生成することに決めたよ。テスト中も同じ手順を使用する。
損失関数
トレーニングを導くために、敵対的例を生成する方法を学ぶのを助けるポリシーを作成する。強化学習を使用して、モデルが目標達成のためにどれだけ頑張ったかに基づいて報酬を受け取る。また、元の言い換えモデルから大きく逸脱しないようにペナルティも設けて、質と整合性を維持するようにしてる。
報酬メカニズム
報酬メカニズムは、設定された制約に従いながらラベルの誤分類を達成することの2つの主要な要素に焦点を当ててる。言い換えが意味のあるもので文法的に正しいことを確保するための明確な基準を定義するよ。
敵対的例の制約
私たちの敵対的例は、特定の制約を満たさなければならない。具体的には:
- ラベル不変性:元の文と生成された文は意味において矛盾してはいけない。
- 意味的一貫性:元の文と言い換えは似た意味を共有するべき。
- 言語的受容性:生成されたテキストは整合性があり、文法的に正しいべき。
- 長さの類似性:元の文と生成された文の長さは似ているべき。
- 特定のフレーズを避ける:生成されたテキストは、元のテキストがそうでない限り、対比のフレーズを使用しないべき。
実験設定
感情分析のために、2つのデータセットを使ってテストを行う。Rotten Tomatoesデータセットは、ポジティブまたはネガティブとしてラベル付けされた映画レビューで、Financial PhraseBankデータセットはポジティブ、中立、ネガティブとラベル付けされた金融ニュースを含んでる。犠牲モデルが間違った予測をした例は除外し、トレーニングデータの制約に合うように短いテキストに焦点を当ててるんだ。
ハイパーパラメータ
パフォーマンスを最適化するためにいくつかのハイパーパラメータをテストした。これには、デコーディングサンプリング温度や評価中に使用されるデコーディング方法が含まれる。各アプローチは、モデルにとって最も効果的な設定を見つけるために様々な構成で検証されたよ。
結果
私たちの実験結果は、微調整されたモデルが元の言い換えモデルと比較して攻撃成功率を大幅に改善したことを示している。微調整されたモデルは、少ないクエリでより多くの成功した敵対的例を一貫して生成することがわかった。
他の攻撃との比較
私たちの方法を様々な確立された敵対的攻撃と比較した結果、毎回、微調整されたモデルがより効率的で、高い成功率を達成しながら、従来の方法よりも少ないクエリで済むことが証明されたんだ。
人間の検証
私たちのモデルが元の意味を維持しているか確認するために、人間の検証を実施した。アノテーターが私たちのモデルが生成した例を評価し、他の方法で生成されたものと比較した結果、私たちの微調整されたモデルは意味を保ちながら高い誤分類率を達成していることが示された。
アプローチの拡張
次に、TRECデータセットを使用して異なる分類タスク-質問タイプ分類-で方法をテストした。このテストは、私たちのアプローチが感情分析を超えて一般化できるか確認することを目的としていた。結果は期待以上で、私たちの方法がさまざまな分類タスクに効果的に適応できることを示している。
デコーディング方法の議論
評価中に使用される異なる評価方法を分析した。それぞれの方法は攻撃成功率や生成されたテキストの質に影響を与えた。特定のデコーディング方法、例えばビームサーチが最高の攻撃成功率をもたらしながら、テキストの流暢さと多様性を維持することがわかったよ。
結論
まとめると、私たちは微調整された言い換えモデルを使用してテキスト分類器のための敵対的例を生成する新しい方法を開発したんだ。強力な報酬メカニズムに支えられた私たちのアプローチは、生成された敵対的例の量と質の両方で従来の方法を上回ることが示された。さまざまなデータセットでの成功した結果は、この方法の多様性を示唆していて、今後の敵対的テキスト生成やさまざまな分野での応用に向けた新たな道を開いているんだ。
タイトル: A Constraint-Enforcing Reward for Adversarial Attacks on Text Classifiers
概要: Text classifiers are vulnerable to adversarial examples -- correctly-classified examples that are deliberately transformed to be misclassified while satisfying acceptability constraints. The conventional approach to finding adversarial examples is to define and solve a combinatorial optimisation problem over a space of allowable transformations. While effective, this approach is slow and limited by the choice of transformations. An alternate approach is to directly generate adversarial examples by fine-tuning a pre-trained language model, as is commonly done for other text-to-text tasks. This approach promises to be much quicker and more expressive, but is relatively unexplored. For this reason, in this work we train an encoder-decoder paraphrase model to generate a diverse range of adversarial examples. For training, we adopt a reinforcement learning algorithm and propose a constraint-enforcing reward that promotes the generation of valid adversarial examples. Experimental results over two text classification datasets show that our model has achieved a higher success rate than the original paraphrase model, and overall has proved more effective than other competitive attacks. Finally, we show how key design choices impact the generated examples and discuss the strengths and weaknesses of the proposed approach.
著者: Tom Roth, Inigo Jauregi Unanue, Alsharif Abuadbba, Massimo Piccardi
最終更新: 2024-05-20 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2405.11904
ソースPDF: https://arxiv.org/pdf/2405.11904
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.acm.org/publications/taps/whitelist-of-latex-packages
- https://www.latex-project.org/help/documentation/encguide.pdf
- https://dl.acm.org/ccs.cfm
- https://huggingface.co/prithivida/parrot
- https://huggingface.co/textattack/distilbert-base-uncased-rotten-tomatoes
- https://huggingface.co/mrm8488/distilroberta-fine-tuned-financial-news-sentiment-analysis
- https://huggingface.co/aychang/bert-base-cased-trec-coarse
- https://huggingface.co/aychang/distilbert-base-cased-trec-coarse
- https://huggingface.co/textattack/albert-base-v2-CoLA
- https://huggingface.co/sentence-transformers/paraphrase-MiniLM-L12-v2
- https://huggingface.co/howey/electra-small-mnli
- https://huggingface.co/models
- https://huggingface.co/distilroberta-base