개인의 깊은 표현은 a 성장하는 대중의 관심사 그리고 점점 더 많이 있습니다 금지 다양한 지역에서는 실제로 복수 포르노 가능성과 같은 사용자가 제작 한 모델이 특정 사람의 이미지에 대해 특별히 훈련되었음을 증명합니다.
문제를 맥락에두기 위해 : 심해 공격의 핵심 요소는 이미지 나 비디오가 특정 사람을 묘사한다고 잘못 주장하는 것입니다. 단순히 비디오의 누군가가 단순한 모습이 아닌 신원 #a라고 말하는 것만으로 피해를 입힐 정도로이 시나리오에서는 AI가 필요하지 않습니다.
그러나 공격자가 실제 사람의 데이터에 대해 교육을받은 모델을 사용하여 AI 이미지 또는 비디오를 생성하는 경우 소셜 미디어 및 검색 엔진 얼굴 인식 시스템은 가짜 콘텐츠를 피해자에 자동으로 연결합니다. AI 생성 비주얼만으로는 연관성을 보장합니다.
사람의 외모가 더 뚜렷할수록 이미지 검색에 제작 된 내용이 나타날 때까지 이것이 불가피하게됩니다. 피해자에게 도달합니다.
대면
신원 중심 모델을 전파하는 가장 일반적인 수단은 현재 낮은 순위 적응 (LORA), 사용자는 훨씬 더 큰 기초 모델의 가중치에 대해 몇 시간 동안 소수의 이미지를 훈련합니다. 안정적인 확산 (정적 이미지의 경우) 또는 후유아 비디오비디오 딥 파이크의 경우.
가장 일반적인 목표 Loras의 새로운 품종 비디오 기반 Loras의 여성 유명인은 여성 유명인이며, 그 명성은 ‘공정한 사용'( 최소한 미국과 유럽에서).
여성 유명인들은 Civit.ai Portal에서 Lora와 Dreambooth 목록을 지배합니다. 가장 인기있는 LORA는 현재 66,000 개가 넘는 다운로드를 가지고 있으며, AI의 이러한 사용은 ‘프린지’활동으로 여겨지는 것을 감안할 때 상당합니다.
기소 사건이 발생했을 때 언론에 나오거나 피해자가 인기있는 아울렛에서 연설하는 심해의 비도시 피해자에 대한 공개 포럼은 없습니다.
그러나 두 시나리오 모두에서 대상 신원을 가짜에 사용하는 데 사용 된 모델은 교육 데이터를 완전히 ‘증류’했습니다. 잠재 된 공간 사용 된 소스 이미지를 식별하기가 어렵다는 모델의
만약 ~이었다 허용 가능한 오류 마진 내에서 그렇게 할 수 있으므로, 이것은 로라를 공유하는 사람들의 기소를 가능하게 할 것입니다. 왜냐하면 그것은 특정한 정체성을 심화시키려는 의도 (즉, 말이 알 수없는 사람의 사람, 남성 요인이더라도 심화 될 의도를 증명할뿐만 아니라. 명예 훼손 과정에서 이름을 지정하지는 않지만 해당되는 경우 업 로더를 저작권 침해 요금에 노출시킵니다.
후자는 심해 기술의 법적 규제가 부족하거나 뒤쳐져있는 관할권에 유용 할 것입니다.
과도한 노출
사용자가 Hugging Face에서 다운로드 할 수있는 다중 기가 바이트 기본 모델과 같은 기초 모델을 훈련시키는 목표는 모델이 잘되어야한다는 것입니다.일반화연성. 여기에는 적절한 수의 다양한 이미지에 대한 교육과 적절한 설정이 포함되어 있으며 모델이 데이터에 대한 모델을 끝내기 전에 교육을 종료하는 것이 포함됩니다.
an 지나치게 장착 된 모델 훈련 과정에서 데이터가 너무 많은 (과도한) 시간을 보았으므로 매우 유사한 이미지를 재현하는 경향이 있으므로 교육 데이터 소스를 노출시킵니다.
정체성 ‘Ann Graham Lotz’는 안정적인 확산 v1.5 모델에서 거의 완벽하게 재현 될 수 있습니다. 재구성은 훈련 데이터와 거의 동일합니다 (위의 이미지의 왼쪽). 출처 : https://arxiv.org/pdf/2301.13188
그러나 과장된 모델은 일반적으로 배포되지 않고 제작자에 의해 폐기됩니다. 어떤 경우에도 목적이 적합하지 않기 때문입니다. 그러므로 이것은 법의학적 ‘횡재’가 될 가능성이 거의 없습니다. 어쨌든 원칙은 기초 모델의 비싸고 대량 교육에 더 많이 적용됩니다. 다중 버전 거대한 소스 데이터 세트에 들어간 동일한 이미지 중 특정 교육 이미지를 쉽게 호출 할 수 있습니다 (위의 이미지 및 예 참조).
Lora와 Dreambooth 모델의 경우 상황이 약간 다릅니다 (Dreambooth는 큰 파일 크기로 인해 유행에서 벗어 났지만). 여기서 사용자는 매우 제한된 수의 다양한 피사체 이미지를 선택하고이를 사용하여 LORA를 훈련시킵니다.
왼쪽에는 Hunyuan 비디오 Lora의 출력이 있습니다. 오른쪽에서, 유사성을 가능하게 한 데이터 (묘사 된 사람의 허가로 사용 된 이미지).
종종 로라는 [nameofcelebrity]. 그러나 특히 구체적으로 훈련 된 대상은 생성 된 출력에 나타납니다. 그러한 프롬프트가 없어도균형이 잘 잡힌 (예 : 과도하지 않은) 로라조차도 훈련 된 재료에 대해 다소 ‘고정’되어 모든 출력에 포함시키는 경향이 있기 때문입니다.
LORA 데이터 세트에 최적의 제한된 이미지 번호와 결합 된이 소인은 우리가 볼 수 있듯이 모델을 법의학 분석에 노출시킵니다.
데이터를 가리지 않습니다
이러한 문제는 덴마크의 새로운 논문으로 다루어지며, 블랙 박스에서 소스 이미지 (또는 소스 이미지 그룹)를 식별하는 방법론을 제공합니다. 회원 자격 불균형 공격 (MIA). 이 기술은 적어도 부분적으로 부분적으로 자체 ‘Deepfakes’를 생성하여 소스 데이터를 노출하도록 설계된 사용자 정의 훈련 모델을 사용하는 것입니다.
새로운 접근법에 의해 생성 된 ‘가짜’이미지의 예, CFG (Classifier-Free Guidance) 수준에서 파괴 시점까지. 출처 : https://arxiv.org/pdf/2502.11619
그러나 일하다제목 미세 조정 된 잠재 확산 모델에 대한 얼굴 이미지에 대한 멤버십 추측 공격,이 특정 주제를 중심으로 문헌에 가장 흥미로운 기여를하고, 상당한 디코딩이 필요한 접근 할 수없고 간결하게 작성된 논문이기도합니다. 그러므로 우리는 여기서 프로젝트의 기본 원칙과 선택한 결과를 선택할 것입니다.
사실상, 누군가가 당신의 얼굴에 AI 모델을 미세 조정하는 경우, 저자의 방법은 모델의 생성 된 이미지에서 암기의 징후 징후를 찾아서 그것을 증명하는 데 도움이 될 수 있습니다.
첫 번째 경우, 대상 AI 모델은 얼굴 이미지 데이터 세트에 미세 조정되어 출력에서 해당 이미지에서 세부 사항을 재현 할 가능성이 높아집니다. 그 후, 분류기 공격 모드는 대상 모델의 AI 생성 이미지를 ‘POSITIVES'(교육 세트의 의심되는 구성원)로 사용하여 ‘NEGATIVES'(비회원)로 다른 데이터 세트의 다른 이미지를 사용하여 훈련됩니다.
이 그룹 간의 미묘한 차이를 배우면 공격 모델은 주어진 이미지가 원래 미세 조정 데이터 세트의 일부인지 예측할 수 있습니다.
공격은 AI 모델이 광범위하게 미세 조정 된 경우 가장 효과적입니다. 즉, A Model이 전문화 될수록 특정 이미지를 사용하는 경우 더 쉽게 감지 할 수 있습니다. 이것은 일반적으로 유명인이나 개인을 재현하도록 설계된 로라에 적용됩니다.
저자들은 또한 눈에 보이는 워터 마크를 훈련 이미지에 추가하면 감지를 더 쉽게 만들 수 있습니다. 숨겨진 워터 마크는 그다지 도움이되지 않습니다.
인상적으로, 접근 방식은 블랙 박스 설정에서 테스트되므로 모델의 내부 세부 사항에 액세스하지 않고 작동하며 출력 만 사용합니다.
저자가 인정하는 것처럼 도달 한 방법은 계산적으로 강렬하다. 그러나이 작업의 가치는 추가 연구의 방향을 나타내며 데이터를 허용 가능한 공차로 현실적으로 추출 할 수 있음을 증명하는 것입니다. 따라서, 중요한 특성을 고려할 때이 단계에서 스마트 폰에서 실행할 필요는 없습니다.
방법/데이터
덴마크 기술 대학 (DTU, 논문의 3 명의 연구원을위한 호스트 기관)의 여러 데이터 세트가 연구에 사용되었으며, 목표 모델을 미세 조정하고 공격 모드를 훈련하고 테스트하기 위해 사용되었습니다.
사용 된 데이터 세트는 파생되었습니다 DTU 궤도:
Dseendtu 기본 이미지 세트.
DDTU DTU 궤도에서 긁힌 이미지.
Dseendtu DDTU의 파티션은 대상 모델을 미세 조정하는 데 사용됩니다.
Dunse 언제 이미지 생성 모델을 미세 조정하는 데 사용되지 않았으며 대신 공격 모델을 테스트하거나 훈련시키는 데 사용 된 DDTU의 파티션.
wmdseendtu 대상 모델을 미세 조정하는 데 사용되는 가시 워터 마크가있는 DDTU의 파티션.
hwmdseendtu 대상 모델을 미세 조정하는 데 사용되는 숨겨진 워터 마크와 DDTU의 파티션.
드 텐투 a 잠재 확산 모델 Dseendtu 이미지 세트에서 미세 조정 된 (LDM).
대상 모델을 미세 조정하는 데 사용되는 데이터 세트는 블립 캡션 모델 (아마도 우연의 일치에 의해 캐주얼 AI 커뮤니티에서 가장 인기있는 무수정 모델 중 하나).
Blip은 문구를 준비하도록 설정되었습니다 ”DTU 헤드 샷 ‘ 각 설명에.
또한 Aalborg University (AAU)의 여러 데이터 세트가 테스트에 사용되었으며 모두 VBN 코퍼스가 있습니다:
다우 AAU VBN에서 긁힌 이미지.
dseenaau 대상 모델을 미세 조정하는 데 사용되는 Daau의 파티션.
Dunseenaau 이미지 생성 모델을 미세 조정하는 데 사용되지 않고 공격 모델을 테스트하거나 훈련시키는 데 사용되는 DAAU의 파티션.
재치 Dseenaau 이미지 세트에서 미세 조정 된 LDM에 의해 생성 된 이미지.
이전 세트와 동일합니다 ‘Aau Headshot’a ‘ 사용되었습니다. 이를 통해 DTU 데이터 세트의 모든 레이블이 형식을 따랐을 수 있습니다. ‘A (…)의 DTU 헤드 샷’미세 조정 중에 데이터 세트의 핵심 특성을 강화합니다.
테스트
멤버십 불쾌한 공격이 목표 모델에 대해 얼마나 잘 수행되는지 평가하기 위해 여러 실험을 수행했습니다. 각 테스트는 아래에 표시된 스키마 내에서 성공적인 공격을 수행 할 수 있는지 여부를 결정하는 것을 목표로했으며, 여기서 대상 모델은 인증없이 얻은 이미지 데이터 세트에서 미세 조정됩니다.
접근 방식에 대한 스키마.
출력 이미지를 생성하기 위해 미세 조정 된 모델을 쿼리하면 이러한 이미지는 공격 모델을 훈련하기위한 긍정적 인 예로 사용되며 추가 관련없는 이미지는 부정적인 예로 포함됩니다.
공격 모델은 사용하여 훈련됩니다 감독 학습 그런 다음 새 이미지에서 테스트하여 원래 미세 조정에 사용되는 데이터 세트의 일부인지 확인합니다. 대상 모델. 공격의 정확도를 평가하기 위해 테스트 데이터의 15%는 검증을 위해 따로 보관하십시오.
대상 모델은 알려진 데이터 세트에서 미세 조정되므로 공격 모델의 교육 데이터를 작성할 때 각 이미지의 실제 멤버십 상태가 이미 설정되어 있습니다. 이 제어 된 설정은 공격 모델이 미세 조정 데이터 세트의 일부인 이미지와 그렇지 않은 이미지를 얼마나 효과적으로 구별 할 수 있는지에 대한 명확한 평가를 허용합니다.
이 테스트의 경우 안정적인 확산 v1.5가 사용되었습니다. 이 오래된 모델은 일관된 테스트의 필요성과 그것을 사용하는 이전 작업의 광범위한 코퍼스로 인해 연구에서 많이 자랐지 만, 이것은 적절한 사용 사례입니다. v1.5는 여러 후속 버전 릴리스에도 불구하고 안정적인 확산 취미 공동체에서 LORA 창조로 인기를 유지했습니다. 유량 – 모델이 완전히 무수하기 때문에.
연구원의 공격 모델은 기반을두고 있습니다 RESNET-18모델의 사전에 사전 무게가 유지되면. RESNET-18의 1000-Neuron 마지막 레이어는 a로 대체되었습니다 완전히 연결되었습니다 두 개의 뉴런을 가진 층. 훈련 손실 범주 적이었다 크로스 엔트로피그리고 Adam Optimizer 사용되었습니다.
각 테스트마다 공격 모델은 다른 것을 사용하여 5 번 훈련되었습니다. 임의의 씨앗 주요 메트릭에 대한 95% 신뢰 구간을 계산합니다. 제로 샷 The와의 분류 클립 모델은 기준선으로 사용되었습니다.
(논문의 원래 1 차 결과 테이블은 간결하고 이해하기 어려운 것입니다. 따라서보다 사용자 친화적 인 방식으로 아래에서이를 재구성했습니다. 이미지를 클릭하여 더 나은 해상도로 확인하십시오).
모든 테스트의 결과 요약. 더 높은 해상도를 보려면 이미지를 클릭하십시오
연구원의 공격 방법은 미세 조정 된 모델, 특히 개인의 얼굴과 같은 특정 이미지 세트에 대해 훈련 된 모델을 대상으로 할 때 가장 효과적인 것으로 판명되었습니다. 그러나 공격은 데이터 세트가 사용되었는지 여부를 결정할 수 있지만 해당 데이터 세트 내에서 개별 이미지를 식별하는 데 어려움을 겪고 있습니다.
실용적으로, 후자는 반드시 이와 같은 접근법을 법의학적으로 사용하는 데 방해가되지는 않습니다. Imagenet과 같은 유명한 데이터 세트가 모델에 사용되었다는 것을 설정하는 데 상대적으로 가치가 있지만, 개인 (유명인이 아닌 개인)의 공격자는 소스 데이터의 선택이 훨씬 적고 사용 가능한 데이터를 완전히 이용해야합니다. 소셜 미디어 앨범 및 기타 온라인 컬렉션과 같은 그룹. 이들은 효과적으로 설명 된 방법으로 밝혀 질 수있는 ‘해시’를 만듭니다.
이 논문은 정확도를 향상시키는 또 다른 방법은 AI 생성 이미지를 실제 이미지에만 의존하지 않고 ‘비회원’으로 사용하는 것입니다. 이것은 결과를 오도 할 수있는 인위적으로 높은 성공률을 방지합니다.
저자는 탐지에 크게 영향을 미치는 추가 요인은 워터 마킹입니다. 훈련 이미지에 가시 워터 마크가 포함되어있을 때, 공격은 매우 효과적이되며 숨겨진 워터 마크는 이점이 거의 없거나 전혀 없습니다.
가장 올바른 그림은 테스트에 사용 된 실제 ‘숨겨진’워터 마크를 보여줍니다.
마지막으로, 텍스트-이미지 생성의 지침 수준도 역할을합니다. 직접 프롬프트가 사용되지 않더라도 미세 조정 된 모델은 여전히 출력을 생성하는 경향이 있습니다. 교육 데이터와 비슷하여 공격의 효과를 강화합니다.
결론
이 흥미로운 논문이 개인 정보 보호 옹호자 및 캐주얼 AI 연구원에게 관심이 있어야하기 때문에이 흥미로운 논문이 접근 할 수없는 방식으로 작성된 것은 부끄러운 일입니다.
멤버십의 불쾌한 공격은 흥미롭고 유익한 법의학 도구로 판명 될 수 있지만,이 연구가 적용 가능한 광범위한 원칙을 개발하는 것이 더 중요합니다. 새로운 모델의 방출이 탐지 및 유사한 법의학 시스템에 악영향을 미치는 경우 일반적으로 Deepfake 감지에 대해 발생했습니다.
이 새로운 연구에서 더 높은 수준의 안내 원리를 청소한다는 증거가 있기 때문에이 방향으로 더 많은 작업을 볼 수 있기를 바랍니다.
2025 년 2 월 21 일 금요일에 처음 출판되었습니다
게시물 새로운 세대의 심해를위한 법의학 데이터 방법 먼저 나타났습니다 Unite.ai.
