区间边界传播 (IBP)

在一个人工智能系统做出从识别医疗状况到驾驶车辆等关键决策的时代，它们的可靠性问题不仅是学术问题，更是至关重要的问题。给现代人工智能蒙上阴影的一个重大挑战是其惊人的脆弱性；强大的神经网络可能会被对其输入的微小、难以察觉的变化完全欺骗，这种现象被称为对抗性样本。我们如何能信任如此容易被欺骗的系统？本文探讨了一种旨在回答这个问题的基础技术：区间边界传播 (IBP)。IBP提供了一种简单而深刻的方法，为网络行为提供数学保证。通过用保证的范围换取精确的值，它使我们能够验证鲁棒性并构建更值得信赖的人工智能。在接下来的章节中，我们将首先揭示IBP的核心“原理与机制”，从其基本直觉开始，逐步构建其在深度网络中的应用，同时也将直面其固有的局限性。然后，我们将在“应用与跨学科联系”中拓宽视野，看看IBP如何成为人工智能安全的关键构建模块，以及一个在其他科学领域回响的基本概念。

让我们从一个简单、近乎幼稚的问题开始我们的旅程。如果你不知道一个量的确切值，但你知道它存在于某个范围内——一个区间​——那么关于涉及它的计算结果，你能说些什么呢？假设你在烘焙，一个食谱要求“大约两杯面粉”和“大约一杯糖”。一个更精确的烘焙师可能会将其解释为，比如说，面粉在 $1.9$ 到 $2.1$ 杯之间，糖在 $0.9$ 到 $1.1$ 杯之间。如果你将它们混合，干性配料的总量是多少？答案不是一个单一的数字，而是一个新的、更大的区间。你可能拥有的最少量是 $1.9 + 0.9 = 2.8$ 杯，最多是 $2.1 + 1.1 = 3.2$ 杯。你的总量在区间 $[2.8, 3.2]$ 内。

这就是​区间边界传播 (IBP) 背后的核心直觉。它是一种追踪量在通过一系列数学运算时的不确定性的方法。让我们把这个过程 formalize 一点。考虑一个简单的线性函数 $y = w x + b$。如果我们知道输入 $x$ 在区间 $[\ell, u]$ 内，那么 $y$ 的区间是什么？如果权重 $w$ 是正的，函数是递增的，所以输出区间就是 $[w\ell + b, wu + b]$。如果 $w$ 是负的，函数是递减的，所以边界的角色互换：$[wu + b, w\ell + b]$。

从控制工程到人工智能，现代系统不使用单个数字进行计算，而是使用向量。想象一下控制系统中的状态估计误差 $e_k$，它是未知但有界的。我们可以用一个方程如 $e_{k+1} = A e_k + w_k$ 来描述它的演变，其中 $w_k$ 是某个未知的扰动，同样有界于一个区间内。要找到下一个误差状态 $e_{k+1}$ 的边界，我们可以推广我们的简单规则。对于输出向量的每个分量，我们都想找到其可能的最小值和最大值。这通过选择输入的“最坏情况”组合来实现。

这导出了一个优美而紧凑的矩阵公式。如果我们的输入向量 $x$ 位于由下界和上界向量 $[\ell, u]$ 定义的“盒子”中，并且它经历一个仿射变换 $y = Wx + b$，那么 $y$ 的新边界 $[\ell', u']$ 由以下公式给出：

在这里，$W^+$ 是一个只包含 $W$ 的正项（负项设为零）的矩阵，而 $W^-$ 只包含负项。这个公式只是一个巧妙的方式，一次性为每个分量表达了我们的“最坏情况”逻辑。为了得到最低的可能输出（下界 $\ell'$），你将最低的输入（$\ell$）与正权重（$W^+$）结合，将最高的输入（$u$）与负权重（$W^-$）结合，对于上界 $u'$ 则反之亦然。

那么，一个神经网络，如果不是这些操作的宏大序列，又是什么呢？一个典型的前馈网络将输入向量推过交替的仿射变换层和非线性“激活函数”层。我们刚刚看到了如何通过仿射层传播一个区间。下一步是弄清楚如何将其推过一个激活函数。

让我们考虑现代深度学习中最流行的激活函数：修正线性单元，或ReLU​。它的定义惊人地简单：$\text{ReLU}(z) = \max(0, z)$。它只是将任何负值裁剪为零。这对我们的区间 $[\ell, u]$ 有何影响？由于该函数是单调非递减的（它从不下降），很容易看出新的区间将简单地是 $[\max(0, \ell), \max(0, u)]$。该函数应用于区间的端点，就是这样！

有了这两条规则——一条用于仿射层，一条用于ReLU——我们就拥有了将整个输入盒子从头到尾传播通过一个深度神经网络所需的一切。我们从一个输入区间开始，将其推过第一层得到一个新区间，应用ReLU规则得到另一个，然后重复这个过程，直到我们到达网络的最终输出 logits。每一步都会扩大可能性的盒子，但我们始终保持对每个可能状态的有效包围。

为什么要费这么大劲呢？最重要的应用之一是在​人工智能安全​和可验证鲁棒性领域。你可能听说过“对抗性样本”——那些被微不足道地调整以欺骗强大神经网络的图像。一张熊猫的照片，加上一点点精心制作的噪声，突然就被高置信度地分类为长臂猿。温和地说，这令人不安。它揭示了这些系统中我们必须理解和控制的脆弱性。

“鲁棒性证书”是一个数学证明，对于给定的输入（比如我们原始的熊猫图像）和一组定义的扰动（比如允许每个像素在一个微小的范围内变化），网络的预测不能改变。IBP提供了一种简单而强大的方法来生成这样的证书。

所有可能的扰动图像的集合形成一个高维盒子。我们可以使用IBP将这个完整的盒子输入到我们的网络中。在输出端，我们为每个分类 logit（网络对每个类别的内部得分）得到一个区间。假设原始预测是“熊猫”。如果“熊猫”logit 区间的下界仍然大于其他每个 logit 区间的上界​（例如，“长臂猿”、“扶手椅”、“客机”），那么我们就有了我们的证明！无论你如何在允许的盒子内调整输入，“熊猫”将永远获得最高分。该网络对于该输入和该扰动大小被证明是鲁棒的。我们甚至可以使用二分搜索等技术来找到这个证书成立的最大可能扰动半径 $\epsilon$。

这是一种非常简单和优雅的方法。但是，就像科学中许多简单和优雅的想法一样，它有一个陷阱。IBP计算出的边界可能，而且常常是，过于悲观。计算出的区间可能比真实可能的输出范围宽得多。

为了理解原因，让我们考虑一个来自 的极其简单的玩具网络。设输入为单个标量 $x \in [-1, 1]$。第一层有两个神经元，其预激活值为 $z_1 = x$ 和 $z_2 = -x$。经过ReLU激活后，我们得到 $a_1 = \max(0, z_1)$ 和 $a_2 = \max(0, z_2)$。最终输出只是它们的和，$y = a_1 + a_2$。

让我们遵循IBP的逻辑。

1. 输入 $x \in [-1, 1]$。
2. 预激活值：$z_1 \in [-1, 1]$ 和 $z_2 \in [-1, 1]$。
3. 激活后：IBP独立地看待每个神经元。对于 $z_1 \in [-1, 1]$，ReLU输出 $a_1$ 在 $[\max(0, -1), \max(0, 1)] = [0, 1]$ 内。同样，$a_2 \in [0, 1]$。
4. 最终输出：为了找到 $y = a_1 + a_2$ 的最大值，IBP假设了最坏情况：$a_1$ 可能达到其最大值 $1$，而 $a_2$ 也可能达到其最大值 $1$。所以，$y$ 的输出区间是 $[0, 2]$。

但是等等。稍加思考就会发现这个推理中的一个缺陷。$a_1$ 和 $a_2$ 能同时为 $1$ 吗？要使 $a_1$ 为 $1$，我们需要 $x=1$。但如果 $x=1$，那么 $z_2 = -1$，并且 $a_2 = \max(0, -1) = 0$。它们不可能同时为正，更不用说同时为 $1$ 了！事实上，这些激活是完全负相关的。真实的输出是 $y = \max(0, x) + \max(0, -x)$，这正是绝对值函数 $|x|$。在输入域 $x \in [-1, 1]$ 上，$y$ 的真实范围是 $[0, 1]$。

IBP告诉我们输出可能高达 $2$，但现实是它永远不会超过 $1$。该方法偏差了整整一倍！这就是臭名昭著的依赖问题​。IBP将每个神经元的激活视为一个可以自由探索其区间的独立变量。它忘记了它们都共享一个共同的祖先——原始输入 $x$——因此它们是深度相关的。IBP用一个简单的、轴对齐的盒子来近似真实的、通常是弯曲且低维的可达激活流形。通过这样做，它包含了在现实中无法到达的角落。

那么，如果IBP可能如此宽松，它是否曾精确过？是的，理解何时精确是理解其本质的关键。我们例子中的松散性是因为预激活区间 $z_1 \in [-1, 1]$ 和 $z_2 \in [-1, 1]$ 跨越了零。这迫使ReLU真正地非线性，像一个开关一样工作。一个其预激活区间跨越零的神经元被称为不稳定的。

但是，如果一个神经元的预激活区间是，比如说，$[0.2, 1.4]$ 呢？由于所有可能的值都是正的，ReLU $\max(0, z)$ 就只是恒等函数 $z$。如果区间是 $[-1.4, -0.2]$ 呢？由于所有值都是负的，ReLU的输出总是 $0$。在这两种情况下，非线性的ReLU在整个输入盒上表现为一个简单的仿射函数（要么是恒等函数，要么是零）。

当网络中所有​神经元对于给定的输入盒都以这种方式符号稳定时，一件非凡的事情发生了。整个多层非线性网络坍缩成一个单一的、等效的仿射变换。正如我们一开始看到的，IBP对于仿射变换是完全精确的！在这个稳定区域，依赖问题消失了，简单的区间边界就是最紧的可能边界。可验证的稳定性余量，它衡量预激活区间离跨越零有多远，为我们提供了这种稳定性的定量度量。

IBP的简单性是其最大的优点，也是其最大的弱点。当神经元不稳定时，它的边界变得宽松。这促使研究人员开发更强大但更复杂的验证方法。像CROWN或基于​线性规划 (LP) 对偶的方法不传播简单的区间数字，而是传播关于输入的完整线性函数。它们维持一个像 $\text{activation} \ge c_L^\top x + d_L$ 和 $\text{activation} \le c_U^\top x + d_U$ 这样的表示。通过保留对原始输入 $x$ 的依赖关系，它们可以捕获IBP丢弃的相关性。

对于IBP偏差一倍的那个网络，这些更先进的方法可以证明真实的边界是 $1$。在一个具体的数值例子中，人们可能会发现IBP给出的可验证下界是，比如说，$0.365$，而一个基于LP的方法证明了一个更紧、更好的边界 $0.4233$。这 $\approx 0.058$ 的差异是为IBP的简单性付出的代价。

这个故事最终引出了一个优美而微妙的洞见。一个验证方法的紧密性并非仅仅是算法本身的绝对属性；它是算法假设与网络内部几何结构之间相互作用的结果。设计一个“鲁棒训练”的网络是可能的，其几何结构如此巧妙地对齐，以至于它挫败了IBP，使其边界比基线网络更宽松​。然而，同样的对齐可以被像CROWN这样的依赖感知方法完美利用，它发现其边界变得更紧密​。这是验证者与被验证者之间的一场舞蹈，提醒我们在深度学习的世界里，几何为王。而IBP，尽管其强大和简单，只是学习其语言的第一步。

在我们至今的旅程中，我们揭示了区间边界传播 (IBP) 的优雅机制。我们看到，通过放弃一个量的精确值，转而追踪它必须位于的区间​，我们可以对像神经网络这样的复杂系统的行为做出明确的陈述。这种简单的权衡——用精度换取确定性——不仅仅是学术上的好奇。它是一个强大而实用的思想，其影响从人工智能的核心波及到优化乃至物理科学的基础。现在让我们来探索这个应用领域，看看这个简单的原则如何为我们的技术提供护栏，并帮助我们理解其他科学领域的宏伟设计。

IBP最直接和紧迫的用途是在人工智能安全和鲁棒性领域。我们希望我们的智能系统是可靠、可预测且不易被愚弄的。IBP提供了实现这一目标的第一道防线。

想象一个图像分类器正确地识别出一张猫的照片。攻击者可能会以人眼无法察觉的方式，对图像的像素值进行微调，导致网络将猫误分类为，比如说，一艘快艇。这不是一个假设性的缺陷；这是许多现代神经网络被充分证明的漏洞。可验证的鲁棒性是我们对这个问题的答案：它是一个形式化的保证，即对于给定的输入，在一定幅度内的任何扰动都不能改变网络的输出。

IBP是提供这一保证的主力。通过将所有可能的扰动图像集合视为一个输入的“盒子”或区间，我们可以将这个盒子传播通过网络的各层。如果最终“猫”的 logit 区间明确地高于所有其他 logits，我们就验证了网络对该输入和该扰动水平是鲁棒的。

但现实总是比简单的模型更丰富。如果我们的输入有内在的约束怎么办？例如，标准图像中的像素值不是任意的实数；它们通常被限制在 $[0, 1]$ 范围内。一个忽略了这一点的幼稚IBP分析可能会考虑不可能的像素值（如 $1.1$ 或 $-0.2$），导致过于悲观或“松散”的边界。在这里，IBP的灵活性就显现出来了。我们可以不仅仅从攻击者的扰动区间开始传播，而是从该区间与有效输入范围的交集开始。通过从一个更紧、更现实的输入集合开始，我们最终的可验证保证变得更强、更有意义。

这种适应性也延伸到了网络架构本身。虽然我们经常使用修正线性单元 (ReLU) 作为典型例子，但现实世界的网络使用了一系列激活函数，许多是为了在移动电话等设备上提高计算效率而设计的。考虑 ReLU6 函数，定义为 $\min(\max(0, z), 6)$，它防止激活值变得过大。这个奇怪的、被裁剪的函数会破坏我们的IBP机制吗？完全不会。因为 ReLU6 是单调递增的，所以规则仍然很简单：要找到输出区间，我们只需将函数应用于输入区间的端点。这一原则得以延续，表明IBP不是一招鲜，而是适用于广泛网络设计的多功能技术。

虽然IBP本身就是一个强大的工具，但它的真正实力或许在它作为更复杂的验证框架中的关键组件时最为明显。它充当了一座桥梁，连接了快速、近似的方法世界与缓慢但精确的形式化验证世界。

分析一个系统的最强大方法之一是使用数学优化的语言来描述它。例如，将“这个神经网络会误分类这个输入吗？”这个问题转化为一个混合整数线性规划 (MILP) 是可能的。MILP是一组线性约束，其中一些变量必须是整数。挑战在于将ReLU神经元的非线性“如果-那么”行为——如果其输入 $z$ 为正，其输出为 $z$；否则为零——编码为纯线性约束。

这是通过一个叫做“big-$M$”公式的聪明技巧来完成的。我们引入一个二进制变量，它像一个开关一样作用于ReLU的两种情况，还有一个大常数 $M$，它能有效地打开或关闭约束。问题是，数值求解器的性能对 $M$ 的值极其敏感。一个不必要的大 $M$ 会使问题在计算上变得难以处理，这种现象被称为“弱松弛”。为了使验证可行，我们需要 $M$ 的最紧可能值。

我们如何找到这个最紧的值呢？用我们信赖的朋友——区间边界传播！通过运行一次快速的IBP传递，我们可以确定神经元输入 $z$ 的下界和上界 $L$ 和 $U$。这些界限立即告诉我们可以用于我们的big-$M$公式的最小有效常数（具体来说，$M_U = U$ 和 $M_L = -L$）。通过提供更紧的边界，IBP锐化了MILP求解器的工具，有时将一个不可能的问题变成一个可以在几分钟内解决的问题。在这里我们看到了一种美丽的共生关系：简单、快速的IBP算法赋能了缓慢、强大的MILP求解器，使我们能够证明远比IBP单独能处理的复杂性质。

这种伙伴关系在基于分支定界（Branch and Bound）的“完备”验证算法中得到了发展。IBP提供了网络输出余量的下界。如果这个下界是正的，我们就完成了——鲁棒性得到了验证。但如果它是负的，真相仍然不明确；网络可能仍然是鲁棒的，只是我们的IBP边界太松了。在这种情况下，我们不能放弃。我们必须更深入地挖掘。

分支定界策略是一种经典的“分而治之”方法。如果整个输入域的不确定性太大，我们就将域分割成更小的子域（“分支”步骤），并分析每一个子域。IBP是在每个小盒子上执行这种分析的引擎。如果IBP证明一个子域是安全的，我们可以把它放在一边。如果不是，我们可以选择进一步分割它。我们通过取所有活跃子域的IBP边界的最小值来维持一个全局下界。这个过程持续进行，系统地缩小不确定性区域，直到我们要么找到一个真正的反例，要么证明整个域是安全的。这将IBP从一个简单的一次性检查器，转变为一个有条不紊、详尽无遗的搜索引擎的核心，只要有足够的时间，它就能提供一个明确的答案。

故事并未止于神经网络。通过计算图传播边界的核心思想是如此基础，以至于它出现在完全不同的科学学科中。这就是我们看到这个概念真正统一之美的地方。

让我们绕道进入化学工程的世界。考虑一个反应器，其中同时发生几种化学反应。对于像 $A + B \rightleftharpoons C$ 这样的反应，质量作用定律告诉我们，在平衡状态下，物种的浓度通过一个公式联系起来，例如 $c = K a b$，其中 $K$ 是平衡常数。一个具有多个耦合反应的系统由一组这样的非线性方程描述。找到反应器的平衡状态——所有化学物质的最终浓度——需要解这个复杂的系统。

这是一个臭名昭著的困难的全局优化问题。我们如何找到解决方案？用我们用于神经网络的完全相同的分支定界策略。我们从每个化学物质可能浓度的宽泛区间开始。然后，我们使用控制方程来传播这些边界并收紧它们。例如，如果我们有浓度 $a$ 和 $b$ 的区间，我们可以使用区间算术计算 $c$ 的区间：$[c_L, c_U] = [K a_L b_L, K a_U b_U]$。我们也可以反转关系，从 $b$ 和 $c$ 来界定 $a$。通过迭代地应用这些规则，我们可以显著地缩小可能浓度的搜索空间。然后分析每个更小的盒子，计算下界，域要么被剪枝，要么被分支。驱动这次寻找化学平衡的搜索的引擎是区间算术——与驱动区间边界传播的数学核心相同。

从保证一个人工大脑的行为到预测一个化学反应器的状态，其基本原理是相同的。我们在面对不确定性时对一个系统进行推理，不是通过追踪一个单点，而是通过追踪可能性的空间。从人工智能安全中的一个实际问题开始的这段旅程，引领我们走向一个分析复杂系统的普适原理，这是科学与工程思想相互关联的美丽证明。