AI 驅動的影像生成正在蓬勃發展,這是有充分理由的:它有趣且易於使用。雖然這些模型帶來了新的創意可能性,但它們可能會引起人們對不良行為者潛在濫用的擔憂,這些不良行為者可能會故意產生圖像來欺騙人們。即使是為了好玩而創作的圖像也可能會像病毒一樣傳播並可能誤導人們。例如,今年早些時候,教宗方濟各穿著一件華麗的白色蓬鬆夾克的圖片在網路上瘋傳,川普被逮捕的照片引發熱議。這些圖像不是真實的照片,但很多人都被愚弄了,因為沒有任何明確的指標來區分這些內容是由生成式AI 創建的。
Meta 研究人員最近發布了一篇新的研究論文和技術程式碼,詳細介紹了一種為AI 圖片添加隱形浮水印的技術,用於區分開源生成式AI 模型何時創建的圖像。隱形浮水印將資訊合併到數位內容中。這些水印肉眼看不見,但可以透過演算法檢測到——即使人們重新編輯了影像。雖然圍繞著水印還有其他研究方向,但許多現有方法在生成AI 圖像後創建水印。
根據Everypixel Journal 報導,用戶已經使用三個開源儲存庫的模型創建了超過110 億張圖像。在這種情況下,只需刪除生成浮水印的行即可刪除不可見浮水印。 Stable Signature 提出了一種方法來避免浮水印被刪除。
Stable Signature 方法的工作原理
論文地址:
https://arxiv.org/abs/2303.15435
Github 網址:
https://github.com/facebookresearch/stable_signature
Stable Signature 透過將浮水印紮根於模型中,並使用可追溯到影像建立位置的浮水印,消除了刪除浮水印的可能性。
讓我們透過下面的圖表來看看這個過程是如何運作的。
Alice 訓練了一個主生成模型。在分發之前,她對模型的一小部分(稱為解碼器)進行了微調,從而為Bob 生成給定的水印。此浮水印可以標識型號版本、公司、用戶等。
Bob 收到他的模型版本並產生圖像。生成的圖像將帶有Bob 的浮水印。 Alice 或第三方可以對它們進行分析,看看影像是否是由使用生成式AI 模型的Bob 產生的。
這透過兩個步驟來實現:
1. 聯合訓練兩個卷積神經網路。一種將圖像和隨機訊息編碼為浮水印圖像,另一種則從水印圖像的增強版本中提取訊息。目標是使編碼和提取的訊息匹配。訓練後,只保留水印提取器。
2. 對生成模型的潛在解碼器進行微調以產生包含固定簽名的影像。在此微調過程中,會對大量影像進行編碼、解碼和最佳化,以最大限度地減少提取的訊息與目標訊息之間的差異,並保持感知影像品質。這種優化過程快速有效,只需要小批量和很短的時間即可獲得高品質的結果。
評估Stable Signature 的效能
我們知道人們喜歡分享和轉發圖像。如果Bob 與10 個朋友分享了他創建的圖像,然後每個朋友又與另外10 個朋友分享了該圖像,結果會如何?在此期間,有人可能會更改圖像,例如裁剪、壓縮或更改顏色。研究人員建構了Stable Signature以應對這些變化。無論人們如何轉換影像,原始浮水印都可能保留在數位資料中,並且可以追溯到創建它的生成模型。
研究人員發現Stable Signature 相對於被動偵測方法的兩大優點:
首先,能夠控制並減少誤報的產生,當將人類生成的圖像誤認為是AI 生成的圖像時,就會發生誤報。考慮到線上共享的非AI 生成圖像的盛行,這一點至關重要。例如,最有效的現有檢測方法可以發現大約50% 的編輯生成影像,但仍會產生約1/100 的誤報率。換句話說,在每天接收10 億張圖像的用戶生成內容平台上,大約1000 萬張圖像將被錯誤標記,從而僅檢測到一半的AI 生成圖像。
另一方面,Stable Signature 以1e-10 的誤報率(可以設定為特定的期望值)以相同的精度檢測影像。此外,這種浮水印方法允許追蹤同一模型的不同版本的圖像——這是被動技術無法實現的能力。
如果一個大模型經過了微調,
Stable Signature 如何偵測到微調版本產生的影像?
AI 大模型的常見做法是採用基礎模型並對其進行微調,以處理有時甚至為一個人量身定制的特定用例。例如,可以向模型顯示Alice 的狗的圖像,然後Alice 可以要求模型產生她的狗在海灘上的圖像。這是透過DreamBooth、Textual Inversion 和ControlNet 等方法完成的。這些方法作用於潛在模型級別,並且不會更改解碼器。這意味著我們的水印方法不受這些微調的影響。
總體而言,Stable Signature 與向量量化影像建模(如VQGAN)和潛在擴散模型(如Stable Diffusion)配合得很好。由於這種方法不修改擴散生成過程,因此它與上述流行模型相容。透過一些調整,穩定簽名也可以應用於其他建模方法。
AI 浮水印真的可靠嗎?
透過添加隱形浮水印的方式來識別AI 生成圖像的技術最近受到許多爭議。 Google DeepMind 最近宣布針對影像產生推出一種新增浮水印的工具SynthID,同時辨識AI 產生的影像。透過掃描影像中的數位浮水印,SynthID 可以評估影像是由Imagen 模型產生的可能性。
但AI 水印是否能夠被輕易去除?根據外媒Engadget、Wired 等報道,美國馬裡蘭大學的一個研究小組對AI 生成內容的「數位浮水印」技術可靠性進行研究,發現這項技術可被輕易破解。
該校計算機科學教授Soheil Feizi 面對AI 生成圖像的水印現狀時直言不諱:“目前我們沒有任何可靠的水印技術,我們破解了所有的水印。”
在測試過程中,研究人員可輕鬆避開現有的水印方法,並發現在非AI 生成的影像上添加「假浮水印」會更容易。同時,該團隊也開發了一種「幾乎無法」從影像中去除的水印技術,且不會完全損害影像的智慧財產權。
AI 水印這種方式仍舊不過成熟,並不能成為百分之百有效的工具。我們需要期待未來能夠出現新的技術來為生成式AI 影像保駕護航,避免虛假圖片氾濫,避免版權侵害。
參考資料:
https://ai.meta.com/blog/stable-signature-watermarking-generative-ai/