17.2.1. ImageNet-C és változatok

2025.10.06.
AI Biztonság Blog

Képzeld el, hogy a legújabb képfelismerő modelled 98%-os pontosságot ér el az ImageNet validációs adatkészletén. Lenyűgöző eredmény, a pr cikkek, sajtóközlemények már készülnek! 

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

  • De mi történik, amikor a modellt egy valós drón kamerájára telepíted, ami enyhe ködben repül? 
  • Vagy amikor egy biztonsági kamera képeit elemzi, ami egy kis digitális zajt szed össze az átvitel során? 

A pontosság hirtelen zuhanórepülésbe kezd. A laboratóriumi tisztaságú adatokon elért kiváló teljesítmény szerte foszlik a valóság zajában. Ez a törékeny tökéletesség problémája…

A modellek hajlamosak a tanítási adatok felszínes, statisztikai mintázatait megtanulni, ahelyett hogy valódi, robusztus belső reprezentációkat alakítanának ki a világról. Egy apró, a valóságban gyakori változás – egy kis elmosódás, egy fénybecsillanás – teljesen megzavarhatja őket. AzAI Red Teaming során nem elég tudnunk, hogy a modell jól teljesít ideális körülmények között; arra vagyunk kíváncsiak, hol és hogyan törik meg a nyomás alatt.

Belép az ImageNet-C: A korrupciók szabványosítása

Ahelyett, hogy mindenki véletlenszerűen tesztelné a modelljeit különböző zajokkal és torzításokkal, Dan Hendrycks és Thomas Dietterich 2019-ben bemutatták az ImageNet-C benchmarkot. A „C” a corruption, azaz korrupció vagy torzítás szóra utal. Az alapötlet zseniálisan egyszerű: vegyük a standard ImageNet validációs adatkészletét, és alkalmazzunk rá egy sor algoritmikusan generált, gyakori vizuális torzítást, méghozzá különböző erősségi szinteken.

Ezzel egy szabványosított, reprodukálható módszert kaptunk a modellek robusztusságának mérésére. Az ImageNet-C nem egy új tanító adatkészlet, hanem egy tesztelési protokoll. A célja, hogy kíméletlenül felfedje, mennyire érzékeny egy modell a bemeneti adatok olyan változásaira, amelyek egy ember számára triviálisak lennének.

A benchmark 15 különböző korrupciót definiál, négy fő kategóriába sorolva:

Kategória Korrupciók (Példák) Leírás
Zaj (Noise)
  • Gauss-zaj
  • Sörétzaj (Shot Noise)
  • Impulzus zaj (Impulse Noise)
 Különböző statisztikai eloszlású véletlenszerű pixel-zavarok, amelyek a szenzorhibákat vagy a rossz fényviszonyokat szimulálják.
Elmosás (Blur)
  • Defókuszálás (Defocus Blur)
  • Mozgási elmosódás (Motion Blur)
  • Üveghatás (Glass Blur)
  • Gauss-elmosás
 A kép élességét csökkentő hatások, amelyek a kamera fókuszhibáiból, a tárgy vagy a kamera mozgásából eredhetnek.
Időjárás (Weather)
  • Köd
  • Dér/fagy
  • Eső
 Kültéri körülményeket szimuláló, a látási viszonyokat rontó effektusok.
Digitális (Digital)
  • Kontraszt
  • JPEG tömörítési hiba
  • Pixelezáció
  • Elasztikus transzformáció
 Képfeldolgozási vagy adatátviteli folyamatok során keletkező, mesterséges képhibák.

Minden korrupciót öt különböző súlyossági szinten (severity level) alkalmaznak. Az 1-es szint egy alig észrevehető torzítás, míg az 5-ös szint már drasztikusan lerontja a kép minőségét, gyakran az emberi felismerés határára sodorva azt.

🖼️ Tiszta kép 🖼️ Súlyosság: 1 (Defocus Blur) 🖼️ Súlyosság: 3 🖼️ Súlyosság: 5

Túl a pontosságon: A korrupciós hiba (mCE)

Hogyan mérjük a teljesítményt az ImageNet-C-n? 

Egyszerűen átlagolhatnánk a pontosságot az összes korrupció és súlyosság felett, de ez nem adna teljes képet. Egy eleve gyengébb modell pontosságcsökkenése lehet, hogy kisebb, mint egy csúcsmodellé. Ezért vezették be a Mean Corruption Error (mCE), azaz az átlagos korrupciós hiba metrikát.

Az mCE normalizálja a modell teljesítményét egyrészt a saját, tiszta adatokon elért hibájához, másrészt egy referencia modell (eredetileg AlexNet) hibájához képest. 

Ez egy sokkal informatívabb mérőszámot ad a robusztusságról!

CEc = ( Σs=1..5 Es,cf ) / ( Σs=1..5 Es,cAlexNet )

mCE = (1/15) * Σc=1..15 CEc

Ahol:

  • Es,cf: Az f modell hibája (1 – pontosság) az s súlyosságú c korrupción.
  • CEc: A normalizált korrupciós hiba a c típusú korrupción.
  • mCE: Az átlagos korrupciós hiba az összes (15) korrupciótípuson.

Minél alacsonyabb az mCE érték, annál robusztusabb a modell a gyakori torzításokkal szemben.

Túl a korrupción: A benchmark család

Az ImageNet-C sikere további, a robusztusság más aspektusait vizsgáló benchmarkok kifejlesztését inspirálta:

ImageNet-P (Perturbation)

Ez a benchmark nem statikus torzításokat, hanem apró, folyamatos változásokat (perturbációkat) vizsgál. Például egy videó egymást követő képkockáin a tárgyak kissé elmozdulnak vagy elfordulnak. Az ImageNet-P azt méri, hogy a modell predikciója mennyire stabil ezekre a kis változásokra. Egy robusztus modellnek konzisztensnek kellene maradnia.

ImageNet-R (Rendition)

Ez a készlet a stílusbeli általánosítás képességét teszteli. Olyan képeket tartalmaz, amelyek ugyanazokat az ImageNet osztályokat ábrázolják, de különböző művészi megformálásban (pl. rajzfilm, szobor, festmény, graffiti). Egy modell, ami csak fotórealisztikus képeken tanult, itt könnyen elvérezhet, bizonyítva, hogy nem a tárgy absztrakt koncepcióját, hanem a „fénykép” textúráját tanulta meg.

ImageNet-A (Adversarial)

Ez egy „természetes” adverzárius példákból álló adatkészlet. Olyan valós képeket gyűjtöttek össze, amelyeket a csúcsmodellek következetesen félrekategorizálnak, de az emberek számára egyértelműek. Ezek nem algoritmikusan generált, pixel-szintű támadások, hanem a modellek alapvető vakfoltjait kihasználó, trükkös valós kompozíciók.

Hogyan használja ezt egy AI Red Teamer?

Az ImageNet-C és rokonai nem csak akadémiai játékszerek! 

A te arzenálodban is kulcsfontosságú eszközök lehetnek:

  • Alapállapot felmérése: Mielőtt bonyolultabb támadásokba kezdenél, futtass le egy ImageNet-C értékelést! Ez gyorsan megmutatja a modell általános sebezhetőségét a bemeneti zavarokkal szemben. Ha már egy kis köd is megzavarja, valószínűleg komolyabb problémái is lesznek…
  • Gyengeségek azonosítása: Az eredmények nem csak egyetlen számot adnak. Láthatod, hogy a modelled a digitális tömörítési hibákra, a mozgási elmosódásra vagy a zajra érzékenyebb-e. Ez célzottabbá teheti a további tesztelést. Például, ha a modell rosszul teljesít a „motion blur”-ön, érdemes lehet gyorsan mozgó tárgyakkal tesztelni a valós alkalmazásban.
  • Hipotézisek validálása: Tegyük fel, hogy egy új, robusztusabb tanítási eljárást vagy adat-augmentációs technikát javasolsz. Az ImageNet-C objektív, standard módja annak, hogy bizonyítsd, a javaslatod valóban javított a modell ellenálló képességén.
  • Inspiráció egyedi tesztekhez: Az ImageNet-C korrupciói jó kiindulópontot adnak saját, domain-specifikus torzítások létrehozásához. Ha orvosi képelemző rendszert tesztelsz, létrehozhatsz „ultrahang zaj” vagy „MRI műtermék” korrupciókat az ImageNet-C logikája alapján.

Az ImageNet-C és a hozzá hasonló benchmarkok arra tanítanak minket, hogy a pontosság csupán egyetlen dimenziója a modell teljesítményének. Egy AI Red Team feladata, hogy feltárja a többi dimenziót is, és megmutassa, hol húzódnak a modell képességeinek valódi határai. Ezek az eszközök szabványosított keretet adnak ehhez a feltáráshoz.

17.1.4 Perturbációs költségvetések

2025.10.06.

17.2.2. GLUE adversarial

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit