文｜巴比特資訊 

AI 驅(qū)動(dòng)的圖像生成正在蓬勃發(fā)展，這是有充分理由的：它有趣且易于使用。雖然這些模型帶來(lái)了新的創(chuàng)意可能性，但它們可能會(huì)引起人們對(duì)不良行為者潛在濫用的擔(dān)憂，這些不良行為者可能會(huì)故意生成圖像來(lái)欺騙人們。即使是為了好玩而創(chuàng)作的圖像也可能會(huì)像病毒一樣傳播并可能誤導(dǎo)人們。

例如，今年早些時(shí)候，教皇方濟(jì)各穿著一件華麗的白色蓬松夾克的圖片在網(wǎng)上瘋傳，特朗普被逮捕的照片引發(fā)熱議。這些圖像不是真實(shí)的照片，但很多人都被愚弄了，因?yàn)闆](méi)有任何明確的指標(biāo)來(lái)區(qū)分這些內(nèi)容是由生成式 AI 創(chuàng)建的。

Meta 研究人員近日發(fā)布了一篇新的研究論文和技術(shù)代碼，詳細(xì)介紹了一種為 AI 圖片添加隱形水印的技術(shù)，用于區(qū)分開(kāi)源生成式 AI 模型何時(shí)創(chuàng)建的圖像。隱形水印將信息合并到數(shù)字內(nèi)容中。這些水印肉眼看不見(jiàn)，但可以通過(guò)算法檢測(cè)到——即使人們重新編輯了圖像。雖然圍繞水印還有其他研究方向，但許多現(xiàn)有方法在生成 AI 圖像后創(chuàng)建水印。

據(jù) Everypixel Journal 報(bào)道，用戶已經(jīng)使用三個(gè)開(kāi)源存儲(chǔ)庫(kù)的模型創(chuàng)建了超過(guò) 110 億張圖像。在這種情況下，只需刪除生成水印的行即可刪除不可見(jiàn)水印。Stable Signature 提出了一種方法來(lái)避免水印被刪除。

01、Stable Signature 方法的工作原理

論文地址：

https://arxiv.org/abs/2303.15435

Github 地址：

https://github.com/facebookresearch/stable_signature

Stable Signature 通過(guò)將水印扎根于模型中，并使用可追溯到圖像創(chuàng)建位置的水印，消除了刪除水印的可能性。

讓我們通過(guò)下面的圖表來(lái)看看這個(gè)過(guò)程是如何工作的。

Alice 訓(xùn)練了一個(gè)主生成模型。在分發(fā)之前，她對(duì)模型的一小部分（稱為解碼器）進(jìn)行了微調(diào)，從而為 Bob 生成給定的水印。該水印可以標(biāo)識(shí)型號(hào)版本、公司、用戶等。

Bob 收到他的模型版本并生成圖像。生成的圖像將帶有 Bob 的水印。Alice 或第三方可以對(duì)它們進(jìn)行分析，看看圖像是否是由使用生成式 AI 模型的 Bob 生成的。

這通過(guò)兩步來(lái)實(shí)現(xiàn)：

1. 聯(lián)合訓(xùn)練兩個(gè)卷積神經(jīng)網(wǎng)絡(luò)。一種將圖像和隨機(jī)消息編碼為水印圖像，另一種則從水印圖像的增強(qiáng)版本中提取消息。目標(biāo)是使編碼和提取的消息匹配。訓(xùn)練后，只保留水印提取器。

2. 對(duì)生成模型的潛在解碼器進(jìn)行微調(diào)以生成包含固定簽名的圖像。在此微調(diào)過(guò)程中，會(huì)對(duì)批量圖像進(jìn)行編碼、解碼和優(yōu)化，以最大限度地減少提取的消息與目標(biāo)消息之間的差異，并保持感知圖像質(zhì)量。這種優(yōu)化過(guò)程快速有效，只需要小批量和很短的時(shí)間即可獲得高質(zhì)量的結(jié)果。

02、評(píng)估 Stable Signature 的性能

我們知道人們喜歡分享和轉(zhuǎn)發(fā)圖像。如果 Bob 與 10 個(gè)朋友分享了他創(chuàng)建的圖像，然后每個(gè)朋友又與另外 10 個(gè)朋友分享了該圖像，結(jié)果會(huì)怎樣？在此期間，有人可能會(huì)更改圖像，例如裁剪、壓縮或更改顏色。研究人員構(gòu)建了Stable Signature以應(yīng)對(duì)這些變化。無(wú)論人們?nèi)绾无D(zhuǎn)換圖像，原始水印都可能保留在數(shù)字?jǐn)?shù)據(jù)中，并且可以追溯到創(chuàng)建它的生成模型。

研究人員發(fā)現(xiàn) Stable Signature 相對(duì)于被動(dòng)檢測(cè)方法的兩大優(yōu)勢(shì)：

首先，能夠控制和減少誤報(bào)的產(chǎn)生，當(dāng)將人類生成的圖像誤認(rèn)為是 AI 生成的圖像時(shí)，就會(huì)發(fā)生誤報(bào)?？紤]到在線共享的非 AI 生成圖像的盛行，這一點(diǎn)至關(guān)重要。例如，最有效的現(xiàn)有檢測(cè)方法可以發(fā)現(xiàn)大約 50% 的編輯生成圖像，但仍會(huì)產(chǎn)生大約 1/100 的誤報(bào)率。換句話說(shuō)，在每天接收 10 億張圖像的用戶生成內(nèi)容平臺(tái)上，大約 1000 萬(wàn)張圖像將被錯(cuò)誤標(biāo)記，從而僅檢測(cè)到一半的 AI 生成圖像。

另一方面，Stable Signature 以 1e-10 的誤報(bào)率（可以設(shè)置為特定的期望值）以相同的精度檢測(cè)圖像。此外，這種水印方法允許追蹤同一模型的不同版本的圖像——這是被動(dòng)技術(shù)無(wú)法實(shí)現(xiàn)的能力。

03、如果一個(gè)大模型經(jīng)過(guò)了微調(diào)，Stable Signature 如何檢測(cè)到微調(diào)版本生成的圖像？

AI 大模型的一種常見(jiàn)做法是采用基礎(chǔ)模型并對(duì)其進(jìn)行微調(diào)，以處理有時(shí)甚至為一個(gè)人量身定制的特定用例。例如，可以向模型顯示 Alice 的狗的圖像，然后 Alice 可以要求模型生成她的狗在海灘的圖像。這是通過(guò) DreamBooth、Textual Inversion 和 ControlNet 等方法完成的。這些方法作用于潛在模型級(jí)別，并且不會(huì)更改解碼器。這意味著我們的水印方法不受這些微調(diào)的影響。

總體而言，Stable Signature 與矢量量化圖像建模（如 VQGAN）和潛在擴(kuò)散模型（如 Stable Diffusion）配合良好。由于這種方法不修改擴(kuò)散生成過(guò)程，因此它與上述流行模型兼容。通過(guò)一些調(diào)整，穩(wěn)定簽名也可以應(yīng)用于其他建模方法。

04、AI 水印真的靠譜嗎？

通過(guò)添加隱形水印的方式來(lái)識(shí)別 AI 生成圖像的技術(shù)最近受到很多爭(zhēng)議。Google DeepMind 最近宣布針對(duì)圖像生成推出一種添加水印的工具 SynthID，同時(shí)識(shí)別 AI 生成的圖像。通過(guò)掃描圖像中的數(shù)字水印，SynthID 可以評(píng)估圖像是由 Imagen 模型生成的可能性。

但 AI 水印是否能夠被輕易去除？據(jù)外媒 Engadget、Wired 等報(bào)道，美國(guó)馬里蘭大學(xué)的一個(gè)研究小組對(duì) AI 生成內(nèi)容的“數(shù)字水印”技術(shù)可靠性進(jìn)行研究，發(fā)現(xiàn)這一技術(shù)可被輕易破解。

該校計(jì)算機(jī)科學(xué)教授 Soheil Feizi 面對(duì) AI 生成圖像的水印現(xiàn)狀時(shí)直言不諱：“目前我們沒(méi)有任何可靠的水印技術(shù)，我們破解了所有的水印?！?/p>

在測(cè)試過(guò)程中，研究人員可輕松避開(kāi)現(xiàn)有的水印方法，并發(fā)現(xiàn)在非 AI 生成的圖像上添加“假水印”更為容易。同時(shí)，該團(tuán)隊(duì)還開(kāi)發(fā)出了一種“幾乎無(wú)法”從圖像中去除的水印技術(shù)，且不會(huì)完全損害圖像的知識(shí)產(chǎn)權(quán)。

AI 水印這種方式仍舊不過(guò)成熟，并不能成為百分百有效的工具。我們需要期待未來(lái)能夠出現(xiàn)新的技術(shù)來(lái)為生成式 AI 圖像保駕護(hù)航，避免虛假圖片泛濫，避免版權(quán)侵害。

參考資料：

https://ai.meta.com/blog/stable-signature-watermarking-generative-ai/