Suivez nous sur

Extraction de données de formation à partir de modèles de diffusion stables affinés

Intelligence Artificielle

Extraction de données de formation à partir de modèles de diffusion stables affinés

mm
Publié
Le kit de préparation mis à jour
Exemples d'images d'entraînement (ci-dessous), extraites d'un modèle entraîné (ci-dessus). Source : https://arxiv.org/pdf/2410.03039

De nouvelles recherches menées aux États-Unis présentent une méthode permettant d'extraire des parties importantes de données de formation à partir de affiné .

Cela pourrait potentiellement fournir des preuves juridiques dans les cas où le style d'un artiste a été copié ou lorsque des images protégées par le droit d'auteur ont été utilisées pour former des modèles génératifs de personnalités publiques, de personnages protégés par la propriété intellectuelle ou d'autres contenus.

D'après le nouvel article : les images d'entraînement originales sont visibles dans la ligne ci-dessus et les images extraites sont représentées dans la ligne ci-dessous. Source : https://arxiv.org/pdf/2410.03039

D'après le nouvel article : les images de formation originales sont visibles dans la ligne ci-dessus et les images extraites sont reprĂ©sentĂ©es dans la ligne ci-dessous. Source : https://arxiv.org/pdf/2410.03039

Ces modèles sont largement et librement disponibles sur Internet, principalement via les énormes archives fournies par les utilisateurs de civit.ai et, dans une moindre mesure, sur la plateforme de référentiel Hugging Face.

Le nouveau modèle développé par les chercheurs s'appelle FineExtract, et les auteurs soutiennent qu’il atteint des résultats de pointe dans cette tâche.

Le journal constate :

« [Notre framework] relève efficacement le dĂ©fi de l'extraction de donnĂ©es de rĂ©glage fin Ă  partir de points de contrĂ´le de DM affinĂ©s et accessibles au public. En exploitant la transition des distributions DM prĂ©-entraĂ®nĂ©es vers des distributions de donnĂ©es affinĂ©es, FineXtract guide avec prĂ©cision le processus de gĂ©nĂ©ration vers les rĂ©gions Ă  forte probabilitĂ© de la distribution de donnĂ©es affinĂ©e, permettant ainsi une extraction rĂ©ussie des donnĂ©es. Â»

À l'extrême droite, l'image originale utilisée lors de la formation. Deuxième à partir de la droite, l'image extraite via FineXtract. Les autres colonnes représentent des méthodes alternatives antérieures.

À l'extrême droite, l'image originale utilisée lors de la formation. Deuxième à partir de la droite, l'image extraite via FineXtract. Les autres colonnes représentent des méthodes alternatives antérieures. Veuillez vous référer au document source pour une meilleure résolution.

Pourquoi ça compte

Construction personnages numériques originaux modèles formés pour les systèmes génératifs de texte en image comme Diffusion stable que le béton ey Flux peut être téléchargé et peaufiné par les utilisateurs finaux, à l'aide de techniques telles que le 2022 cabine de rêve la mise en œuvre.

Encore plus simple, l'utilisateur peut créer un fichier beaucoup plus petit LoRA modèle qui est presque aussi efficace qu’un modèle entièrement réglé.

Un exemple de LORA entraîné, proposé en téléchargement gratuit sur le site très populaire de Civitai. Un tel modèle peut être créé en quelques minutes ou quelques heures par des passionnés à l'aide d'un logiciel open source installé localement, et en ligne, via certains des systèmes d'entraînement pilotés par API les plus permissifs. Source : civitai.com

Un exemple de LORA entraîné, proposé en téléchargement gratuit sur le domaine très populaire civitai. Un tel modèle peut être créé en quelques minutes ou quelques heures par des passionnés à l'aide de logiciels open source installés localement, et en ligne, via certains des systèmes d'entraînement pilotés par API les plus permissifs. Source : civitai.com

Depuis 2022, il est devenu trivial de créer des points de contrôle et des LoRA affinés et spécifiques à l'identité, en fournissant seulement un petit nombre (en moyenne 5 à 50) d'images sous-titrées et en formant le point de contrôle (ou LoRA) localement, sur un framework open source tel que Kohya ss, ou en utilisant services en ligne.

Cette méthode facile de deepfaking a atteint notoriété dans les médias au cours des dernières années. De nombreux artistes ont également vu leur travail ingéré dans des modèles génératifs qui reproduisent leur style. La controverse autour de ces questions a pris de l'ampleur au cours des derniers mois 18.

La facilité avec laquelle les utilisateurs peuvent créer des systèmes d'IA qui reproduisent le travail de véritables artistes a suscité la fureur et diverses campagnes au cours des deux dernières années. Source : https://www.technologyreview.com/2022/09/16/1059598/this-artist-is-dominated-ai-generated-art-and-hes-not-happy-about-it/

La facilité avec laquelle les utilisateurs peuvent créer des systèmes d’IA qui reproduisent le travail de vrais artistes a suscité la fureur et diverses campagnes au cours des deux dernières années. Source : https://www.technologyreview.com/2022/09/16/1059598/cet-artiste-domine-l-art-genere-par-l-ai-et-il-n-est-pas-heureux-de-le-faire/

Il est difficile de prouver quelles images ont Ă©tĂ© utilisĂ©es dans un point de contrĂ´le affinĂ© ou dans un LoRA, car le processus de gĂ©nĂ©ralisation « rĂ©sume Â» l'identitĂ© des petits ensembles de donnĂ©es d'entraĂ®nement et n'est pas susceptible de reproduire des exemples Ă  partir des donnĂ©es d'entraĂ®nement (sauf dans le cas de surajustement, oĂą l’on peut considĂ©rer que la formation a Ă©chouĂ©).

C'est lĂ  qu'intervient FineXtract. En comparant l'Ă©tat du modèle de diffusion « modèle Â» tĂ©lĂ©chargĂ© par l'utilisateur avec celui qu'il a ensuite crĂ©Ă© par ajustement fin ou via LoRA, les chercheurs ont pu crĂ©er des reconstructions très prĂ©cises des donnĂ©es d'entraĂ®nement.

Bien que FineXtract n'ait pu recréer que 20 % des données issues d'un réglage fin*, c'est plus que ce qui serait normalement nécessaire pour prouver que l'utilisateur a utilisé du matériel protégé par le droit d'auteur ou autrement protégé ou interdit dans la production d'un modèle génératif. Dans la plupart des exemples fournis, l'image extraite est extrêmement proche du matériel source connu.

Bien que des légendes soient nécessaires pour extraire les images sources, cela ne constitue pas un obstacle important pour deux raisons : a) le téléchargeur souhaite généralement faciliter l'utilisation du modèle au sein d'une communauté et fournira généralement des exemples pertinents et rapides ; et b) il n'est pas si difficile, ont constaté les chercheurs, d'extraire les termes clés à l'aveugle, à partir du modèle affiné :

Les mots-clés essentiels peuvent généralement être extraits à l'aveugle du modèle affiné à l'aide d'une attaque L2-PGD sur 1000 itérations, à partir d'une invite aléatoire.

Les mots-clĂ©s essentiels peuvent gĂ©nĂ©ralement ĂŞtre extraits Ă  l'aveugle du modèle affinĂ© Ă  l'aide d'une attaque L2-PGD sur 1000 XNUMX itĂ©rations, Ă  partir d'une invite alĂ©atoire.

Les utilisateurs Ă©vitent souvent de mettre Ă  disposition leurs ensembles de donnĂ©es d'entraĂ®nement parallèlement au modèle entraĂ®nĂ© de type « boĂ®te noire Â». Pour cette recherche, les auteurs ont collaborĂ© avec des passionnĂ©s d'apprentissage automatique qui ont effectivement fourni des ensembles de donnĂ©es.

Construction nouveau papier est intitulé Révéler l'invisible : guider les modèles de diffusion personnalisés pour exposer les données de formation, et provient de trois chercheurs des universités Carnegie Mellon et Purdue.

MĂ©thode

L'« attaquant » (dans ce cas, le système FineXtract) compare les distributions de données estimées entre le modèle original et le modèle affiné, dans un processus que les auteurs appellent « guidage du modèle ».

Grâce au « guidage par modèle », développé par les chercheurs du nouveau document, les caractéristiques de réglage fin peuvent être cartographiées, permettant l'extraction des données de formation.

Grâce au « guidage par modèle », développé par les chercheurs du nouvel article, les caractéristiques de réglage fin peuvent être cartographiées, permettant l'extraction des données de formation.

Les auteurs expliquent :

« Au cours du processus de réglage fin, les [modèles de diffusion] déplacent progressivement leur distribution apprise de la [distribution] des DM pré-entraînés vers la [distribution] des données affinées.

« Ainsi, nous approximons paramétriquement [la] distribution apprise des [modèles de diffusion] affinés. »

De cette manière, la somme des différences entre les modèles de base et les modèles affinés fournit le processus de guidage.

Les auteurs commentent Ă©galement :

« Grâce à l'aide du modèle, nous pouvons simuler efficacement un « pseudo- » [débruiteur], qui peut être utilisé pour orienter le processus d'échantillonnage vers la région à forte probabilité dans une distribution de données affinée. »

Les directives reposent en partie sur un processus de bruitage variable dans le temps similaire à celui de 2023 sortie Effacement de concepts des modèles de diffusion.

La prédiction de débruitage obtenue fournit également une probabilité Guidage sans classificateur Échelle (CFG). Ceci est important, car l'échelle CFG affecte considérablement la qualité de l'image et la fidélité au texte de l'utilisateur.

Pour améliorer la précision des images extraites, FineXtract s'appuie sur le célèbre logiciel 2023 collaboration Extraction de données de formation à partir de modèles de diffusion. La méthode utilisée consiste à calculer la similarité de chaque paire d'images générées, en fonction d'un seuil défini par le Descripteur auto-supervisé (Note SSCD).

De cette manière, l’algorithme de clustering aide FineXtract à identifier le sous-ensemble d’images extraites qui correspondent aux données de formation.

Dans ce cas, les chercheurs ont collaboré avec les utilisateurs qui ont mis les données à disposition. On peut raisonnablement dire que, absent Avec de telles données, il serait impossible de prouver qu'une image générée en particulier a effectivement été utilisée dans l'entraînement de l'original. Cependant, il est désormais relativement simple de comparer des images téléchargées avec des images en direct sur le Web ou des images qui se trouvent également dans des ensembles de données connus et publiés, en se basant uniquement sur le contenu de l'image.

Données et tests

Pour tester FineXtract, les auteurs ont menĂ© des expĂ©riences sur quelques coups modèles affinĂ©s dans les deux scĂ©narios d'affinement les plus courants, dans le cadre du projet : styles artistiquesbauen pilotĂ© par les objets gĂ©nĂ©ration (cette dernière englobant effectivement les sujets basĂ©s sur le visage).

Ils ont sélectionné au hasard 20 artistes (chacun avec 10 images) parmi WikiArt ensemble de données et 30 sujets (chacun avec 5 à 6 images) de la Ensemble de données DreamBooth, pour répondre à ces scénarios respectifs.

DreamBooth et LoRA étaient les méthodes de réglage fin ciblées, et Stable Diffusion V1/.4 a été utilisé pour les tests.

Si l'algorithme de clustering ne renvoyait aucun résultat après trente secondes, le seuil était modifié jusqu'à ce que les images soient renvoyées.

Les deux mesures utilisées pour les images générées étaient la similarité moyenne (AS) sous SSCD et le taux de réussite moyen de l'extraction (A-ESR) - une mesure globalement conforme aux travaux antérieurs, où un score de 0.7 représente le minimum pour désigner une extraction totalement réussie des données de formation.

Les approches précédentes ayant utilisé soit la génération directe de texte en image, soit CFG, les chercheurs ont comparé FineXtract à ces deux méthodes.

Résultats des comparaisons de FineXtract avec les deux méthodes antérieures les plus populaires.

Résultats des comparaisons de FineXtract avec les deux méthodes antérieures les plus populaires.

Les auteurs commentent :

« Les [résultats] démontrent un avantage significatif de FineXtract par rapport aux méthodes précédentes, avec une amélioration d'environ 0.02 à 0.05 de l'AS et un doublement de l'A-ESR dans la plupart des cas. »

Pour tester la capacité de la méthode à généraliser à de nouvelles données, les chercheurs ont effectué un test supplémentaire, en utilisant la diffusion stable (V1.4), Diffusion Stable XLbauen AltDiffusion.

FineXtract a été appliqué à une gamme de modèles de diffusion. Pour le composant WikiArt, le test s'est concentré sur quatre classes de WikiArt.

FineXtract a été appliqué à une gamme de modèles de diffusion. Pour le composant WikiArt, le test s'est concentré sur quatre classes de WikiArt.

Comme le montrent les résultats présentés ci-dessus, FineXtract a pu réaliser une amélioration par rapport aux méthodes précédentes également dans ce test plus large.

Comparaison qualitative des résultats extraits de FineXtract et des approches antérieures. Veuillez vous référer au document source pour une meilleure résolution.

Comparaison qualitative des résultats extraits de FineXtract et des approches antérieures. Veuillez vous référer au document source pour une meilleure résolution.

Les auteurs observent que lorsqu’un nombre accru d’images est utilisé dans l’ensemble de données pour un modèle affiné, l’algorithme de clustering doit être exécuté pendant une période plus longue afin de rester efficace.

Ils observent également que diverses méthodes ont été développées ces dernières années pour empêcher ce type d'extraction, sous couvert de protection de la vie privée. Ils ont donc testé FineXtract sur des données augmentées par la Coupé que le béton ey RandAugmentation méthodes.

Comparaison qualitative des résultats extraits de FineXtract et des approches antérieures. Veuillez vous référer au document source pour une meilleure résolution.

Performances de FineXtract sur les images protégées par Cutout et RandAugment.

Bien que les auteurs admettent que les deux systèmes de protection fonctionnent assez bien pour obscurcir les sources de données de formation, ils notent que cela se fait au prix d'une baisse de la qualité de sortie si grave qu'elle rend la protection inutile :

Images produites sous Stable Diffusion V1.4, affinées avec des mesures défensives – qui réduisent considérablement la qualité de l'image.

Images produites sous Stable Diffusion V1.4, affinées avec des mesures défensives – qui réduisent considérablement la qualité de l'image. Veuillez vous référer au document source pour une meilleure résolution.

Le papier conclut :

« Nos expériences démontrent la robustesse de la méthode sur divers ensembles de données et points de contrôle du monde réel, soulignant les risques potentiels de fuite de données et fournissant des preuves solides de violations du droit d'auteur. »

Conclusion

L'année 2024 a prouvé que l'intérêt des entreprises pour les données de formation « propres » a considérablement augmenté, face à la couverture médiatique continue de la propension de l'IA à remplacer les humains et à la perspective de protéger légalement les modèles génératifs qu'elles sont elles-mêmes si désireuses d'exploiter.

Il est facile de prétendre que vos données d'entraînement sont propres, mais il devient également plus facile pour des technologies similaires de prouver que ce n'est pas le cas, comme l'ont fait Runway ML, Stability.ai et MidJourney (entre autres). découvert dans les derniers jours.

Des projets tels que FineXtract sont sans doute les présages de la fin absolue de l’ère du « Far West » de l’IA, où même la nature apparemment occulte d’un espace latent entraîné pourrait être tenue pour responsable.

 

* Pour des raisons de commoditĂ©, nous supposerons dĂ©sormais « affiner et LoRA Â», si nĂ©cessaire.

Première publication le lundi 7 octobre 2024

Rubriques connexes:
mm

Rédacteur en apprentissage automatique, spécialiste du domaine de la synthèse d'images humaines. Ancien responsable du contenu de recherche chez Metaphysic.ai.
Site personnel : martinanderson.ai
Contact [email protected]
Twitter : @manders_ai