‘보호 된’이미지는 AI를 훔치는 것이 더 쉽지 않습니다.

새로운 연구에 따르면 AI 이미지 편집을 차단하기위한 워터 마킹 도구는 역화 될 수 있다고합니다. 변경으로부터 안정적인 확산과 같은 모델을 중지하는 대신 실제로 일부 보호 돕다 AI는 편집 프롬프트가 더 밀접하게 진행되어 원치 않는 조작을 훨씬 쉽게 만듭니다.

Computer Vision Lit 이런 종류의 시스템은 일반적으로 목표입니다 잠복 확산 모델 (LDMS) : 안정적인 확산 그리고 유량사용하는 소음 기반 이미지를 인코딩하고 디코딩하는 절차.

에 의해 적대 소음 삽입 그렇지 않으면 정상적인 이미지로 이미지 감지기가 이미지 콘텐츠를 잘못 추측하십시오및 Hobble 이미지 생성 시스템은 저작권 데이터를 이용하지 못하게합니다.

an 아티스트의 반발 2023 년에 웹 스프레이링 된 이미지 (저작권이있는 이미지 포함)에 대한 안정적인 확산의 자유로운 사용에 대해 연구 장면은 동일한 주제에 대해 여러 가지 변형을 일으켰습니다. 이는 AI 시스템으로 훈련을 받거나 AI 파이프 라인의 품질에 영향을 미치지 않고 AI 시스템으로 훈련을 받거나 생성 된 AI 파이프 라인에 빠질 수 없다는 아이디어를 생성했습니다.

모든 경우에, 부과 된 섭동의 강도, 이미지가 보호되는 정도, 이미지가 예상만큼 좋지 않은 정도 사이의 직접적인 상관 관계가 있습니다.

무단 세출로부터 자신의 스타일을 보호하려는 아티스트에게 특히 관심이있는 것은 그러한 시스템의 용량뿐만 아니라 정체성을 난독 화합니다 다른 정보, 그러나 AI 교육 과정을 ‘확신’하는 것은 실제로보고있는 것 외에 다른 것을보고 있으므로 ‘보호 된’훈련 데이터에 대한 의미 론적 영역과 시각적 영역 사이에 연결되지 않도록 ‘Paul Klee의 스타일로’).

자신의 목표

이제 미국의 새로운 연구는 섭동이 이미지를 보호하는 데 실패 할 수있을뿐만 아니라 섭동을 추가하면 실제로 개선하다 섭동이되는 모든 AI 프로세스에서 이미지의 악용은 면역을위한 것입니다.

논문은 다음과 같습니다.

‘여러 도메인 (자연 장면 이미지 및 아트 워크) 및 편집 작업 (이미지 간 이미지 생성 및 스타일 편집)에서 다양한 섭동 기반 이미지 보호 방법을 사용한 실험에서 이러한 보호 가이 목표를 완전히 달성하지 못한다는 것을 알게됩니다.

‘대부분의 시나리오에서 보호 된 이미지의 확산 기반 편집은 가이드 프롬프트에 정확하게 준수하는 바람직한 출력 이미지를 생성합니다.

‘우리의 연구 결과는 이미지에 소음을 추가하면 세대 과정에서 주어진 텍스트 프롬프트와의 연관성이 역설적으로 증가하여 더 나은 결과 편집.

‘따라서 우리는 섭동 기반 방법이 확산 기반 편집에 대한 강력한 이미지 보호를위한 충분한 솔루션을 제공하지 않을 수 있다고 주장합니다.’

테스트에서 보호 된 이미지는 두 가지 친숙한 AI 편집 시나리오에 노출되었습니다 : 간단한 이미지-이미지 생성 및 스타일 전송. 이러한 프로세스는 AI 모델이 이미지를 직접 변경하거나 다른 곳에서 사용하기 위해 스타일 특성을 빌려서 보호 된 컨텐츠를 악용 할 수있는 일반적인 방법을 반영합니다.

표준 사진 및 아트 워크에서 나온 보호 이미지는 이러한 파이프 라인을 통해 실행되어 추가 된 섭동이 편집을 차단하거나 저하시킬 수 있는지 확인했습니다.

대신, 보호의 존재는 종종 프롬프트와의 모델의 정렬을 연마하여 일부 고장이 예상되는 깨끗하고 정확한 출력을 생성하는 것처럼 보였다.

저자는 사실상이 매우 인기있는 보호 방법이 잘못된 보안 감각을 제공 할 수 있으며, 그러한 섭동 기반 예방 접근 방식은 저자의 방법에 대해 철저히 테스트되어야한다고 조언합니다.

방법

저자는 신중하게 디자인 된 대적 섭동을 적용하는 세 가지 보호 방법을 사용하여 실험을 실험했습니다. 포토 가드; 안개; 그리고 잿물.

Photoguard는 자연 장면 이미지에 적용되었으며 미스트와 유약은 예술 작품 (예술적으로 스타일의 ‘도메인)에 사용되었습니다.

테스트는 가능한 실제 용도를 반영하기 위해 자연 및 예술적 이미지를 모두 다루었습니다. 보호 된 이미지에서 작업 할 때 AI 모델이 여전히 현실적이고 프롬프트 관련 편집을 생성 할 수 있는지 확인하여 각 방법의 효과를 평가했습니다. 결과 이미지가 설득력있는 것처럼 보이고 프롬프트와 일치하면 보호가 실패한 것으로 판단되었습니다.

안정적인 확산 v1.5 연구원의 편집 작업을위한 미리 훈련 된 이미지 생성기로 사용되었습니다. 다섯 씨앗 9222, 999, 123, 66 및 42의 재현성을 보장하기 위해 선택되었습니다. 지침 척도, 강도 및 총 단계와 같은 다른 모든 세대 설정은 Photoguard 실험에 사용 된 기본값을 따랐습니다.

Photoguard는 이것을 사용하여 자연 장면 이미지에서 테스트되었습니다 flickr8k 각각 최대 5 개의 캡션과 쌍을 이루는 8,000 개가 넘는 이미지가 포함 된 데이터 세트.

반대 생각

각 이미지의 첫 번째 캡션에서 수정 된 캡션의 두 세트가 클로드 소네트 3.5. 한 세트에는 프롬프트가 포함되어있었습니다 상황에 따라 가깝습니다 원본 캡션에; 다른 세트에는 프롬프트가 포함되어있었습니다 맥락 적으로 먼.

예를 들어, 원래 캡션에서 ‘나무 오두막에 들어가는 분홍색 드레스를 입은 어린 소녀’긴밀한 프롬프트가 될 것입니다 ‘브릭 하우스에 들어가는 파란 셔츠를 입은 어린 소년’. 대조적으로, a 먼 프롬프트가 될 것입니다 ‘소파에 두 마리의 고양이가.

명사와 형용사를 의미 적으로 유사한 용어로 교체하여 밀접한 프롬프트를 구성했습니다. 모델에 맥락 적으로 매우 다른 캡션을 생성하도록 지시함으로써 원거리 프롬프트가 생성되었습니다.

생성 된 모든 캡션은 품질과 시맨틱 관련성을 수동으로 점검했습니다. 구글 유니버설 문장 인코더 원래 캡션과 수정 된 캡션 사이의 시맨틱 유사성 점수를 계산하는 데 사용되었습니다.

보호 버전과 함께 각 이미지는 가까운 프롬프트와 멀리 떨어진 프롬프트를 사용하여 편집되었습니다. 블라인드/참조 이미지 공간 품질 평가자 (브리 스크) 이미지 품질을 평가하는 데 사용되었습니다.

생성 된 이미지는 Brisque에서 17.88을 기록했으며, 가까운 프롬프트의 경우 17.82, 멀리있는 프롬프트의 경우 17.94, 원래 이미지는 22.27 점을 기록했습니다. 이것은 편집 된 이미지가 원본과 품질이 가까워 졌음을 보여줍니다.

메트릭

Protections가 AI 편집을 얼마나 잘 방해했는지 판단하기 위해 연구원들은 이미지 컨텐츠를 텍스트 프롬프트와 비교하는 스코어링 시스템을 사용하여 최종 이미지가 주어진 지침과 얼마나 밀접하게 일치하는지 측정했습니다.

이를 위해 클립 -S Metric은 이미지와 텍스트를 모두 이해하여 비슷한 지 확인할 수있는 모델을 사용합니다. Pac-S ++AI가 생성 한 추가 샘플을 추가하여 비교를 인간 추정과 더 밀접하게 정렬합니다.

이러한 ITA (Image-Text Alignment) 점수는 보호 된 이미지를 수정할 때 AI가 지침을 정확하게 따르는지를 나타냅니다. 보호 된 이미지가 여전히 정렬 된 출력으로 이어진 경우 보호가 가질 것으로 간주됩니다. 실패한 편집을 차단합니다.

연구원들은 보호 된 이미지와 보호되지 않은 이미지를 편집 할 때 AI가 얼마나 잘 따랐는지 비교했습니다. 그들은 먼저 두 사람의 차이점을 보았습니다. 실제 변화. 그런 다음 차이를 조정하여 a를 만들었습니다 백분율 변화많은 테스트에서 결과를 더 쉽게 비교할 수 있습니다.

이 과정은 보호가 AI가 프롬프트와 일치하는 것을 어렵거나 쉬운 지 여부를 밝혀 냈습니다. 다른 임의의 씨앗을 사용하여 테스트를 5 회 반복하여 원래 캡션의 작고 큰 변화를 모두 다루었습니다.

미술 공격

천연 사진에 대한 테스트의 경우 FlickR1024 데이터 세트가 사용되었으며, 수천 개가 넘는 고품질 이미지가 포함되어 있습니다. 각 이미지는 패턴에 따른 프롬프트로 편집되었습니다. ‘스타일을 바꾸십시오 [V]’어디 [V] 7 가지 유명한 예술 스타일 중 하나를 대표했습니다 : Cubism; 인상 후; 인상주의; 초현실주의; 바로크; fauvism; 그리고 르네상스.

이 과정에는 원래 이미지에 Photoguard를 적용하고 보호 버전을 생성 한 다음 동일한 스타일 전송 편집 세트를 통해 보호 된 및 보호되지 않은 이미지를 실행하는 것이 포함되었습니다.

아트 워크에 대한 보호 방법을 테스트하기 위해 스타일 전송이 이미지에서 수행되었습니다. Wikiart 광범위한 예술적 스타일을 선별하는 데이터 세트. 편집 프롬프트는 이전과 동일한 형식을 따라 AI가 스타일을 Wikiart 레이블에서 얻은 무작위로 선택된 관련없는 스타일로 변경하도록 지시했습니다.

유약 및 미스트 보호 방법 모두 편집 전에 이미지에 적용되었으므로 연구원들은 각 방어가 스타일 전송 결과를 얼마나 잘 차단하거나 왜곡 할 수 있는지 관찰 할 수 있습니다.

연구원들은 비교를 정량적으로 테스트했습니다.

이 결과 중 저자는 다음과 같이 언급합니다.

‘결과는 보호를위한 대적 섭동의 중대한 한계를 강조합니다. 정렬을 방해하는 대신, 적대적 섭동은 종종 프롬프트에 대한 생성 모델의 응답 성을 향상시켜, 우연히 익스플로잇이 목표와 더 밀접하게 일치하는 출력을 생성 할 수있게한다. 이러한 보호는 이미지 편집 프로세스를 방해하지 않으며 악의적 인 에이전트가 무단 재료를 복사하는 것을 방지하지 못할 수 있습니다.

‘대적 섭동을 사용한 의도하지 않은 결과는 기존 방법에서 취약성을 나타내고보다 효과적인 보호 기술에 대한 긴급한 필요성을 강조합니다.’

저자는 예기치 않은 결과가 확산 모델의 작동 방식에 따라 추적 될 수 있다고 설명합니다. LDMS 이미지를 먼저 A라는 압축 버전으로 변환하여 이미지를 편집합니다. 숨어 있는; 그런 다음이 잠복에 소음이 추가됩니다 많은 단계를 통해데이터가 거의 무작위가 될 때까지.

이 모델은 생성 중에이 프로세스를 역전시켜 노이즈를 단계별로 제거합니다. 이 반전의 각 단계에서 텍스트 프롬프트는 노이즈를 청소 해야하는 방법을 안내하여 이미지를 점차적으로 형성하여 프롬프트와 일치합니다.

보호 방법이 프로세스에 들어가기 전에 원본 이미지에 소량의 추가 노이즈를 추가합니다. 이러한 섭동은 처음에는 미미하지만 모델이 자체 노이즈 층을 적용함에 따라 축적됩니다.

이 빌드 업은 모델이 노이즈를 제거하기 시작할 때 이미지의 더 많은 부분을 ‘불확실한’상태로 남깁니다. 불확실성이 높아지면 모델은 누락 된 세부 사항을 채우기 위해 텍스트 프롬프트에 더 크게 의존하여 프롬프트를 제공합니다. 평소보다 더 많은 영향을 미칩니다.

사실상, 보호는 AI가 이미지를 더 쉽게 재구성하여 더 어렵지 않고 프롬프트와 일치 할 수 있도록합니다.

마지막으로 저자는 악의적 인 AI 기반 이미지 편집 비용을 높입니다 피aper 순수한 가우스 소음의 경우.

결과는 이전에 관찰 된 것과 동일한 패턴을 따랐다. 모든 테스트에서, 비율 변화 값은 긍정적이었다. 이 무작위로 구조화되지 않은 노이즈조차도 생성 된 이미지와 프롬프트 사이에 더 강력한 정렬을 이끌어 냈습니다.

이것은 설계에 관계없이 추가 소음이 생성 중 모델에 대해 더 큰 불확실성을 생성하여 텍스트 프롬프트가 최종 이미지를 훨씬 더 많이 제어 할 수 있다는 근본적인 설명을지지했습니다.

결론

연구 장면은 LDM이 주변에있는 한 거의 LDM 저작권 문제에서 대적 섭동을 추진하고 있습니다. 그러나이 압정에 출판 된 특별한 논문에서 탄력성 해결책이 나오지 않았다.

부과 된 교란은 이미지의 품질을 과도하게 낮추거나 패턴은 조작 및 변형 과정에 탄력적이지 않은 것으로 판명됩니다.

그러나 대안은 Adobe 주도와 같은 타사 모니터링 및 출처 프레임 워크 인 것처럼 보이기 때문에 포기하는 것은 어려운 꿈입니다. C2PA 체계카메라 센서의 이미지에 대한 가슴 체인을 유지하려고하지만 묘사 된 컨텐츠와 타고난 연결이 없습니다.

어쨌든, 적대적 섭동이 실제로 문제를 악화시키는 경우, 새로운 논문이 많은 경우에 알 수 있듯이, 그러한 수단을 통한 저작권 보호에 대한 검색이 ‘연금술’에 해당되는지 궁금합니다.

2025 년 6 월 9 일 월요일에 처음 출판되었습니다

게시물 ‘보호 된’이미지는 AI를 훔치는 것이 더 쉽지 않습니다. 먼저 나타났습니다 Unite.ai.