正在閱讀:

Meta 開源新的 AI 圖像水印技術(shù),但真的靠譜嗎?

掃一掃下載界面新聞APP

Meta 開源新的 AI 圖像水印技術(shù),但真的靠譜嗎?

AI 水印這種方式仍舊不過成熟,并不能成為百分百有效的工具。

文|巴比特資訊 

AI 驅(qū)動(dòng)的圖像生成正在蓬勃發(fā)展,這是有充分理由的:它有趣且易于使用。雖然這些模型帶來了新的創(chuàng)意可能性,但它們可能會(huì)引起人們對(duì)不良行為者潛在濫用的擔(dān)憂,這些不良行為者可能會(huì)故意生成圖像來欺騙人們。即使是為了好玩而創(chuàng)作的圖像也可能會(huì)像病毒一樣傳播并可能誤導(dǎo)人們。

例如,今年早些時(shí)候,教皇方濟(jì)各穿著一件華麗的白色蓬松夾克的圖片在網(wǎng)上瘋傳,特朗普被逮捕的照片引發(fā)熱議。這些圖像不是真實(shí)的照片,但很多人都被愚弄了,因?yàn)闆]有任何明確的指標(biāo)來區(qū)分這些內(nèi)容是由生成式 AI 創(chuàng)建的。

Meta 研究人員近日發(fā)布了一篇新的研究論文和技術(shù)代碼,詳細(xì)介紹了一種為 AI 圖片添加隱形水印的技術(shù),用于區(qū)分開源生成式 AI 模型何時(shí)創(chuàng)建的圖像。隱形水印將信息合并到數(shù)字內(nèi)容中。這些水印肉眼看不見,但可以通過算法檢測(cè)到——即使人們重新編輯了圖像。雖然圍繞水印還有其他研究方向,但許多現(xiàn)有方法在生成 AI 圖像后創(chuàng)建水印。

據(jù) Everypixel Journal 報(bào)道,用戶已經(jīng)使用三個(gè)開源存儲(chǔ)庫(kù)的模型創(chuàng)建了超過 110 億張圖像。在這種情況下,只需刪除生成水印的行即可刪除不可見水印。Stable Signature 提出了一種方法來避免水印被刪除。

01、Stable Signature 方法的工作原理

論文地址:

https://arxiv.org/abs/2303.15435

Github 地址:

https://github.com/facebookresearch/stable_signature

Stable Signature 通過將水印扎根于模型中,并使用可追溯到圖像創(chuàng)建位置的水印,消除了刪除水印的可能性。

讓我們通過下面的圖表來看看這個(gè)過程是如何工作的。

Alice 訓(xùn)練了一個(gè)主生成模型。在分發(fā)之前,她對(duì)模型的一小部分(稱為解碼器)進(jìn)行了微調(diào),從而為 Bob 生成給定的水印。該水印可以標(biāo)識(shí)型號(hào)版本、公司、用戶等。

Bob 收到他的模型版本并生成圖像。生成的圖像將帶有 Bob 的水印。Alice 或第三方可以對(duì)它們進(jìn)行分析,看看圖像是否是由使用生成式 AI 模型的 Bob 生成的。

這通過兩步來實(shí)現(xiàn):

1. 聯(lián)合訓(xùn)練兩個(gè)卷積神經(jīng)網(wǎng)絡(luò)。一種將圖像和隨機(jī)消息編碼為水印圖像,另一種則從水印圖像的增強(qiáng)版本中提取消息。目標(biāo)是使編碼和提取的消息匹配。訓(xùn)練后,只保留水印提取器。

2. 對(duì)生成模型的潛在解碼器進(jìn)行微調(diào)以生成包含固定簽名的圖像。在此微調(diào)過程中,會(huì)對(duì)批量圖像進(jìn)行編碼、解碼和優(yōu)化,以最大限度地減少提取的消息與目標(biāo)消息之間的差異,并保持感知圖像質(zhì)量。這種優(yōu)化過程快速有效,只需要小批量和很短的時(shí)間即可獲得高質(zhì)量的結(jié)果。

02、評(píng)估 Stable Signature 的性能

我們知道人們喜歡分享和轉(zhuǎn)發(fā)圖像。如果 Bob 與 10 個(gè)朋友分享了他創(chuàng)建的圖像,然后每個(gè)朋友又與另外 10 個(gè)朋友分享了該圖像,結(jié)果會(huì)怎樣?在此期間,有人可能會(huì)更改圖像,例如裁剪、壓縮或更改顏色。研究人員構(gòu)建了Stable Signature以應(yīng)對(duì)這些變化。無論人們?nèi)绾无D(zhuǎn)換圖像,原始水印都可能保留在數(shù)字?jǐn)?shù)據(jù)中,并且可以追溯到創(chuàng)建它的生成模型。

研究人員發(fā)現(xiàn) Stable Signature 相對(duì)于被動(dòng)檢測(cè)方法的兩大優(yōu)勢(shì):

首先,能夠控制和減少誤報(bào)的產(chǎn)生,當(dāng)將人類生成的圖像誤認(rèn)為是 AI 生成的圖像時(shí),就會(huì)發(fā)生誤報(bào)??紤]到在線共享的非 AI 生成圖像的盛行,這一點(diǎn)至關(guān)重要。例如,最有效的現(xiàn)有檢測(cè)方法可以發(fā)現(xiàn)大約 50% 的編輯生成圖像,但仍會(huì)產(chǎn)生大約 1/100 的誤報(bào)率。換句話說,在每天接收 10 億張圖像的用戶生成內(nèi)容平臺(tái)上,大約 1000 萬張圖像將被錯(cuò)誤標(biāo)記,從而僅檢測(cè)到一半的 AI 生成圖像。

另一方面,Stable Signature 以 1e-10 的誤報(bào)率(可以設(shè)置為特定的期望值)以相同的精度檢測(cè)圖像。此外,這種水印方法允許追蹤同一模型的不同版本的圖像——這是被動(dòng)技術(shù)無法實(shí)現(xiàn)的能力。

03、如果一個(gè)大模型經(jīng)過了微調(diào),Stable Signature 如何檢測(cè)到微調(diào)版本生成的圖像?

AI 大模型的一種常見做法是采用基礎(chǔ)模型并對(duì)其進(jìn)行微調(diào),以處理有時(shí)甚至為一個(gè)人量身定制的特定用例。例如,可以向模型顯示 Alice 的狗的圖像,然后 Alice 可以要求模型生成她的狗在海灘的圖像。這是通過 DreamBooth、Textual Inversion 和 ControlNet 等方法完成的。這些方法作用于潛在模型級(jí)別,并且不會(huì)更改解碼器。這意味著我們的水印方法不受這些微調(diào)的影響。

總體而言,Stable Signature 與矢量量化圖像建模(如 VQGAN)和潛在擴(kuò)散模型(如 Stable Diffusion)配合良好。由于這種方法不修改擴(kuò)散生成過程,因此它與上述流行模型兼容。通過一些調(diào)整,穩(wěn)定簽名也可以應(yīng)用于其他建模方法。

04、AI 水印真的靠譜嗎?

通過添加隱形水印的方式來識(shí)別 AI 生成圖像的技術(shù)最近受到很多爭(zhēng)議。Google DeepMind 最近宣布針對(duì)圖像生成推出一種添加水印的工具 SynthID,同時(shí)識(shí)別 AI 生成的圖像。通過掃描圖像中的數(shù)字水印,SynthID 可以評(píng)估圖像是由 Imagen 模型生成的可能性。

但 AI 水印是否能夠被輕易去除?據(jù)外媒 Engadget、Wired 等報(bào)道,美國(guó)馬里蘭大學(xué)的一個(gè)研究小組對(duì) AI 生成內(nèi)容的“數(shù)字水印”技術(shù)可靠性進(jìn)行研究,發(fā)現(xiàn)這一技術(shù)可被輕易破解。

該校計(jì)算機(jī)科學(xué)教授 Soheil Feizi 面對(duì) AI 生成圖像的水印現(xiàn)狀時(shí)直言不諱:“目前我們沒有任何可靠的水印技術(shù),我們破解了所有的水印?!?/p>

在測(cè)試過程中,研究人員可輕松避開現(xiàn)有的水印方法,并發(fā)現(xiàn)在非 AI 生成的圖像上添加“假水印”更為容易。同時(shí),該團(tuán)隊(duì)還開發(fā)出了一種“幾乎無法”從圖像中去除的水印技術(shù),且不會(huì)完全損害圖像的知識(shí)產(chǎn)權(quán)。

AI 水印這種方式仍舊不過成熟,并不能成為百分百有效的工具。我們需要期待未來能夠出現(xiàn)新的技術(shù)來為生成式 AI 圖像保駕護(hù)航,避免虛假圖片泛濫,避免版權(quán)侵害。

參考資料:

https://ai.meta.com/blog/stable-signature-watermarking-generative-ai/

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。

評(píng)論

暫無評(píng)論哦,快來評(píng)價(jià)一下吧!

下載界面新聞

微信公眾號(hào)

微博

Meta 開源新的 AI 圖像水印技術(shù),但真的靠譜嗎?

AI 水印這種方式仍舊不過成熟,并不能成為百分百有效的工具。

文|巴比特資訊 

AI 驅(qū)動(dòng)的圖像生成正在蓬勃發(fā)展,這是有充分理由的:它有趣且易于使用。雖然這些模型帶來了新的創(chuàng)意可能性,但它們可能會(huì)引起人們對(duì)不良行為者潛在濫用的擔(dān)憂,這些不良行為者可能會(huì)故意生成圖像來欺騙人們。即使是為了好玩而創(chuàng)作的圖像也可能會(huì)像病毒一樣傳播并可能誤導(dǎo)人們。

例如,今年早些時(shí)候,教皇方濟(jì)各穿著一件華麗的白色蓬松夾克的圖片在網(wǎng)上瘋傳,特朗普被逮捕的照片引發(fā)熱議。這些圖像不是真實(shí)的照片,但很多人都被愚弄了,因?yàn)闆]有任何明確的指標(biāo)來區(qū)分這些內(nèi)容是由生成式 AI 創(chuàng)建的。

Meta 研究人員近日發(fā)布了一篇新的研究論文和技術(shù)代碼,詳細(xì)介紹了一種為 AI 圖片添加隱形水印的技術(shù),用于區(qū)分開源生成式 AI 模型何時(shí)創(chuàng)建的圖像。隱形水印將信息合并到數(shù)字內(nèi)容中。這些水印肉眼看不見,但可以通過算法檢測(cè)到——即使人們重新編輯了圖像。雖然圍繞水印還有其他研究方向,但許多現(xiàn)有方法在生成 AI 圖像后創(chuàng)建水印。

據(jù) Everypixel Journal 報(bào)道,用戶已經(jīng)使用三個(gè)開源存儲(chǔ)庫(kù)的模型創(chuàng)建了超過 110 億張圖像。在這種情況下,只需刪除生成水印的行即可刪除不可見水印。Stable Signature 提出了一種方法來避免水印被刪除。

01、Stable Signature 方法的工作原理

論文地址:

https://arxiv.org/abs/2303.15435

Github 地址:

https://github.com/facebookresearch/stable_signature

Stable Signature 通過將水印扎根于模型中,并使用可追溯到圖像創(chuàng)建位置的水印,消除了刪除水印的可能性。

讓我們通過下面的圖表來看看這個(gè)過程是如何工作的。

Alice 訓(xùn)練了一個(gè)主生成模型。在分發(fā)之前,她對(duì)模型的一小部分(稱為解碼器)進(jìn)行了微調(diào),從而為 Bob 生成給定的水印。該水印可以標(biāo)識(shí)型號(hào)版本、公司、用戶等。

Bob 收到他的模型版本并生成圖像。生成的圖像將帶有 Bob 的水印。Alice 或第三方可以對(duì)它們進(jìn)行分析,看看圖像是否是由使用生成式 AI 模型的 Bob 生成的。

這通過兩步來實(shí)現(xiàn):

1. 聯(lián)合訓(xùn)練兩個(gè)卷積神經(jīng)網(wǎng)絡(luò)。一種將圖像和隨機(jī)消息編碼為水印圖像,另一種則從水印圖像的增強(qiáng)版本中提取消息。目標(biāo)是使編碼和提取的消息匹配。訓(xùn)練后,只保留水印提取器。

2. 對(duì)生成模型的潛在解碼器進(jìn)行微調(diào)以生成包含固定簽名的圖像。在此微調(diào)過程中,會(huì)對(duì)批量圖像進(jìn)行編碼、解碼和優(yōu)化,以最大限度地減少提取的消息與目標(biāo)消息之間的差異,并保持感知圖像質(zhì)量。這種優(yōu)化過程快速有效,只需要小批量和很短的時(shí)間即可獲得高質(zhì)量的結(jié)果。

02、評(píng)估 Stable Signature 的性能

我們知道人們喜歡分享和轉(zhuǎn)發(fā)圖像。如果 Bob 與 10 個(gè)朋友分享了他創(chuàng)建的圖像,然后每個(gè)朋友又與另外 10 個(gè)朋友分享了該圖像,結(jié)果會(huì)怎樣?在此期間,有人可能會(huì)更改圖像,例如裁剪、壓縮或更改顏色。研究人員構(gòu)建了Stable Signature以應(yīng)對(duì)這些變化。無論人們?nèi)绾无D(zhuǎn)換圖像,原始水印都可能保留在數(shù)字?jǐn)?shù)據(jù)中,并且可以追溯到創(chuàng)建它的生成模型。

研究人員發(fā)現(xiàn) Stable Signature 相對(duì)于被動(dòng)檢測(cè)方法的兩大優(yōu)勢(shì):

首先,能夠控制和減少誤報(bào)的產(chǎn)生,當(dāng)將人類生成的圖像誤認(rèn)為是 AI 生成的圖像時(shí),就會(huì)發(fā)生誤報(bào)。考慮到在線共享的非 AI 生成圖像的盛行,這一點(diǎn)至關(guān)重要。例如,最有效的現(xiàn)有檢測(cè)方法可以發(fā)現(xiàn)大約 50% 的編輯生成圖像,但仍會(huì)產(chǎn)生大約 1/100 的誤報(bào)率。換句話說,在每天接收 10 億張圖像的用戶生成內(nèi)容平臺(tái)上,大約 1000 萬張圖像將被錯(cuò)誤標(biāo)記,從而僅檢測(cè)到一半的 AI 生成圖像。

另一方面,Stable Signature 以 1e-10 的誤報(bào)率(可以設(shè)置為特定的期望值)以相同的精度檢測(cè)圖像。此外,這種水印方法允許追蹤同一模型的不同版本的圖像——這是被動(dòng)技術(shù)無法實(shí)現(xiàn)的能力。

03、如果一個(gè)大模型經(jīng)過了微調(diào),Stable Signature 如何檢測(cè)到微調(diào)版本生成的圖像?

AI 大模型的一種常見做法是采用基礎(chǔ)模型并對(duì)其進(jìn)行微調(diào),以處理有時(shí)甚至為一個(gè)人量身定制的特定用例。例如,可以向模型顯示 Alice 的狗的圖像,然后 Alice 可以要求模型生成她的狗在海灘的圖像。這是通過 DreamBooth、Textual Inversion 和 ControlNet 等方法完成的。這些方法作用于潛在模型級(jí)別,并且不會(huì)更改解碼器。這意味著我們的水印方法不受這些微調(diào)的影響。

總體而言,Stable Signature 與矢量量化圖像建模(如 VQGAN)和潛在擴(kuò)散模型(如 Stable Diffusion)配合良好。由于這種方法不修改擴(kuò)散生成過程,因此它與上述流行模型兼容。通過一些調(diào)整,穩(wěn)定簽名也可以應(yīng)用于其他建模方法。

04、AI 水印真的靠譜嗎?

通過添加隱形水印的方式來識(shí)別 AI 生成圖像的技術(shù)最近受到很多爭(zhēng)議。Google DeepMind 最近宣布針對(duì)圖像生成推出一種添加水印的工具 SynthID,同時(shí)識(shí)別 AI 生成的圖像。通過掃描圖像中的數(shù)字水印,SynthID 可以評(píng)估圖像是由 Imagen 模型生成的可能性。

但 AI 水印是否能夠被輕易去除?據(jù)外媒 Engadget、Wired 等報(bào)道,美國(guó)馬里蘭大學(xué)的一個(gè)研究小組對(duì) AI 生成內(nèi)容的“數(shù)字水印”技術(shù)可靠性進(jìn)行研究,發(fā)現(xiàn)這一技術(shù)可被輕易破解。

該校計(jì)算機(jī)科學(xué)教授 Soheil Feizi 面對(duì) AI 生成圖像的水印現(xiàn)狀時(shí)直言不諱:“目前我們沒有任何可靠的水印技術(shù),我們破解了所有的水印?!?/p>

在測(cè)試過程中,研究人員可輕松避開現(xiàn)有的水印方法,并發(fā)現(xiàn)在非 AI 生成的圖像上添加“假水印”更為容易。同時(shí),該團(tuán)隊(duì)還開發(fā)出了一種“幾乎無法”從圖像中去除的水印技術(shù),且不會(huì)完全損害圖像的知識(shí)產(chǎn)權(quán)。

AI 水印這種方式仍舊不過成熟,并不能成為百分百有效的工具。我們需要期待未來能夠出現(xiàn)新的技術(shù)來為生成式 AI 圖像保駕護(hù)航,避免虛假圖片泛濫,避免版權(quán)侵害。

參考資料:

https://ai.meta.com/blog/stable-signature-watermarking-generative-ai/

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。