「保護された」画像はAIによって盗まれやすくなり、難しくなることはない

新たな研究によると、AIによる画像編集をブロックすることを目的とした透かしツールが逆効果になる可能性が示唆されている。安定拡散モデルのようなモデルによる変更を阻止する代わりに、一部の保護機能は実際には 助けます AI は編集プロンプトにさらに厳密に従うため、不要な操作がさらに容易になります。

コンピュータビジョンの文献には、著作権で保護された画像がAIモデルの学習に利用されたり、直接的な画像から画像へのAI処理に利用されたりするのを防ぐための、注目に値する強力な研究分野があります。この種のシステムは一般的に、 潜在拡散モデル （LDM）など 安定拡散 および Flux、使用する ノイズベース 画像をエンコードおよびデコードする手順。

By 敵対的なノイズを挿入する 一見正常に見える画像に、画像検出器が 画像の内容を間違って推測する、画像生成システムが著作権で保護されたデータを利用するのを阻止します。

MIT の論文「悪意のある AI による画像編集のコストの上昇」より、操作に対して「免疫」化されたソース画像の例 (下の段)。 出典: https://arxiv.org/pdf/2302.06588

ある アーティストの反発 2023年にStable Diffusionがウェブスクレイピングした画像（著作権で保護された画像を含む）を自由に使用したことに対して、研究シーンでは同じテーマでさまざまなバリエーションが生み出されました。つまり、平均的な視聴者にとって画像の品質に悪影響を与えることなく、画像がAIシステムにトレーニングされたり、生成AIパイプラインに吸い込まれたりしないように、目に見えない形で「汚染」される可能性があるという考えです。

いずれの場合も、課せられた摂動の強さ、その後に画像が保護される程度、および画像が本来の見栄えにならない程度の間には、直接的な相関関係があります。

研究用PDFの品質は問題を完全には示していないものの、敵対的摂動が多ければ多いほど、セキュリティのために品質が犠牲になる。ここでは、シカゴ大学が主導する2020年の「フォークス」プロジェクトにおける、品質の擾乱の全容を見ることができる。 出典: https://arxiv.org/pdf/2002.08327

不正な盗用から自分のスタイルを守ろうとするアーティストにとって特に興味深いのは、このようなシステムが 身元を隠す およびその他の情報ではなく、AIトレーニングプロセスに、実際に見ているものとは異なるものを見ていると「確信させる」ことであり、「保護された」トレーニングデータ（つまり、次のようなプロンプト）の意味領域と視覚領域の間の接続が形成されないようにします。 「パウル・クレー風」).

Mist と Glaze は、AI ワークフローやトレーニング ルーチンで著作権で保護されたスタイルを使用する試みを防止、または少なくとも大幅に妨害することができる 2 つの一般的なインジェクション方法です。 出典: https://arxiv.org/pdf/2506.04394

オウンゴール

現在、米国の新たな研究により、摂動が画像を保護することができないだけでなく、摂動を加えることで実際には 改善します 摂動によって防御されるすべての AI プロセスにおける画像の悪用可能性。

論文は次のように述べています。

「複数のドメイン（自然風景画像と芸術作品）と編集タスク（画像間の生成とスタイル編集）にわたるさまざまな摂動ベースの画像保護方法の実験では、このような保護ではこの目標が完全に達成されないことがわかりました。

ほとんどのシナリオでは、保護された画像の拡散ベースの編集により、ガイダンス プロンプトに正確に準拠した望ましい出力画像が生成されます。

「私たちの研究結果は、画像にノイズを加えると、逆説的に生成プロセス中に与えられたテキストプロンプトとの関連性が高まり、次のような意図しない結果につながる可能性があることを示唆しています。 優れた 結果として得られる編集。

「したがって、摂動ベースの方法は、拡散ベースの編集に対する堅牢な画像保護のための十分な解決策を提供できない可能性があると私たちは主張します。」

テストでは、保護された画像が2つのよく知られたAI編集シナリオにさらされました。それは、単純な画像から画像への生成と スタイル転送これらのプロセスは、画像を直接変更するか、そのスタイル上の特徴を借用して他の場所で使用することによって、AI モデルが保護されたコンテンツを悪用する一般的な方法を反映しています。

写真やアートワークの標準的なソースから抽出された保護された画像をこれらのパイプラインに通して、追加された摂動によって編集がブロックされたり、品質が低下したりするかどうかを確認しました。

むしろ、保護の存在によって、モデルとプロンプトの整合性が明確になり、失敗が予想されていた場合でも、クリーンで正確な出力が生成されることが多くなったようです。

著者らは、事実上、この非常に普及している防御方法は誤った安心感を与えている可能性があり、そのような摂動に基づく免疫化のアプローチは著者ら自身の方法と照らし合わせて徹底的にテストする必要がある、とアドバイスしている。

方法

著者らは、慎重に設計された敵対的摂動を適用する 3 つの保護方法を使用して実験を実行しました。 フォトガード; ミスト、および 釉.

著者らがテストしたフレームワークの一つであるGlaze。3人のアーティストに対するGlaze保護の例を示している。最初の2列はオリジナルの作品、3列目は保護なしの模倣結果、4列目はクロークの最適化に使用されたスタイル転送バージョンとターゲットスタイル名を示している。5列目と6列目は、摂動レベルでクローキングを適用した模倣結果を示している。 p = 0.05 および 0.1 でした。 すべての結果には安定拡散モデルが使用されます。 https://arxiv.org/pdf/2302.04222

PhotoGuard は自然風景の画像に適用され、Mist と Glaze はアート作品 (つまり「芸術的なスタイル」の領域) に使用されました。

テストでは、現実世界での使用を想定し、自然な画像と芸術的な画像の両方を対象としました。各手法の有効性は、保護された画像に対してAIモデルが現実的かつプロンプトに合致する編集を生成できるかどうかで評価されました。生成された画像が説得力があり、プロンプトと一致した場合、保護は失敗したと判断されました。

安定拡散 v1.5 研究者の編集作業のための事前学習済み画像生成器として使用された。5 シーズ 再現性を確保するために、9222、999、123、66、42が選択されました。ガイダンススケール、強度、合計ステップ数などのその他のすべての生成設定は、PhotoGuard実験で使用されるデフォルト値に従いました。

PhotoGuardは、自然風景画像でテストされ、 フリッカー8k データセットには、それぞれ最大 8,000 つのキャプションが付いた XNUMX 枚以上の画像が含まれています。

反対の考え

各画像の最初のキャプションから、以下の助けを借りて2セットの修正されたキャプションが作成されました。 クロード・ソネット 3.51セットには、 文脈的に近い 元の字幕に、もう1つのセットには、 文脈的に遠い.

例えば、元のキャプションから 「ピンクのドレスを着た少女が木造の小屋に入っていく」閉じたいプロンプトは 「レンガ造りの家に入る青いシャツを着た少年」対照的に、 遠い プロンプトは 「ソファでくつろぐ2匹の猫」.

近いプロンプトは名詞と形容詞を意味的に類似した用語に置き換えることによって構築され、遠いプロンプトは文脈的に大きく異なるキャプションを作成するようにモデルに指示することによって生成されました。

生成されたキャプションはすべて、品質と意味的関連性について手動でチェックされています。Googleの ユニバーサルセンテンスエンコーダ 元のキャプションと修正されたキャプション間の意味的類似性スコアを計算するために使用されました。

補足資料より、Flickr8kのテストで使用された修正キャプションの意味的類似度の分布。左のグラフは、修正が少なかったキャプションの類似度スコアを示しており、平均は約0.6です。右のグラフは、修正が多すぎたキャプションの類似度スコアを示しており、平均は約0.1で、元のキャプションとの意味的距離が大きいことを示しています。値はGoogleのUniversal Sentence Encoderを使用して計算されました。 出典: https://sigport.org/sites/default/files/docs/IncompleteProtection_SM_0.pdf

各画像とその保護バージョンは、近距離および遠距離のプロンプトの両方を使用して編集されました。ブラインド/リファレンスレス画像空間品質評価ツール（ブリスク）を使用して画像品質を評価しました。

PhotoGuardで保護された自然写真を用いた画像間生成結果。Stable Diffusion v1.5は、編集プロンプトにおける大小さまざまな意味的変化に正常に追従し、新しい指示に一致するリアルな出力を生成しました。

生成された画像はBRISQUEで17.88点を獲得し、近いプロンプトでは17.82点、遠いプロンプトでは17.94点でした。一方、元の画像は22.27点でした。これは、編集された画像が元の画像とほぼ同等の品質を維持していることを示しています。

メトリック

研究者らは、保護手段がAI編集をどの程度妨害したかを判断するために、画像の内容とテキストプロンプトを比較し、それらの整合性を測るスコアリングシステムを使用して、最終的な画像が与えられた指示にどの程度一致しているかを測定した。

この目的のために、 クリップS メトリックは、画像とテキストの両方を理解できるモデルを使用して、それらの類似性をチェックします。 PAC-S++は、AI によって作成された追加のサンプルを追加して、比較を人間の推定にさらに近づけます。

これらの画像テキストアライメント（ITA）スコアは、保護された画像を修正する際にAIが指示にどれだけ正確に従ったかを示します。保護された画像が高度にアライメントされた出力をもたらした場合には、保護が適切であると判断されたことを意味します。 失敗した 編集をブロックします。

Flickr8kデータセットにおける保護の効果を、XNUMXつのシード（近距離および遠距離）にわたって評価しました。画像とテキストの配置は、CLIP-SスコアとPAC-S++スコアを用いて測定しました。

研究者たちは、保護された画像と保護されていない画像を編集する際のAIの指示への従いやすさを比較した。まず、両者の違い、つまり「 実際の変化そして、その差をスケールして、 変化率これにより、多くのテスト間で結果を比較しやすくなります。

このプロセスにより、保護によってAIがプロンプトにマッチしにくくなったのか、それともしやすくなるのかが明らかになりました。テストは異なるランダムシードを用いて5回繰り返され、元の字幕に小さな変更と大きな変更の両方が行われました。

アートアタック

自然写真のテストでは、1024枚以上の高品質画像を含むFlickrXNUMXデータセットを使用しました。各画像は、以下のパターンに従ったプロンプトを用いて編集されました。 「スタイルを[V]に変更」ここで、 [V] キュビズム、ポスト印象派、印象派、シュルレアリスム、バロック、フォーヴィスム、ルネサンスという 7 つの有名な芸術様式のいずれかを表しています。

このプロセスでは、元の画像に PhotoGuard を適用し、保護されたバージョンを生成し、保護された画像と保護されていない画像の両方を同じ一連のスタイル転送編集で実行します。

自然の風景画像のオリジナル バージョンと保護バージョン。それぞれ、キュビズム、シュルレアリスム、フォーヴィスムのスタイルを適用して編集されています。

アートワークの保護方法をテストするために、スタイル転送を以下の画像に対して実行しました。 ウィキアート 幅広い芸術スタイルをキュレーションしたデータセット。編集プロンプトは以前と同じ形式で、AIにWikiArtのラベルからランダムに選択された無関係なスタイルに変更するよう指示しました。

編集前の画像には Glaze と Mist の両方の保護方法が適用され、研究者は各防御策がスタイル転送結果をどの程度ブロックまたは歪めることができるかを観察できました。

保護方法がアートワークのスタイル転写に及ぼす影響の例。オリジナルのバロック様式の画像と、MistとGlazeで保護されたバージョンを並べて表示しています。Cubismスタイル転写を適用すると、それぞれの保護方法が最終的な出力にどのような変化をもたらすかが分かります。

研究者らは比較を定量的にもテストしました。

スタイル転送編集後の画像とテキストの配置スコアの変化。

これらの結果について、著者らは次のようにコメントしている。

この結果は、保護のための敵対的摂動の重大な限界を浮き彫りにしています。敵対的摂動は、アラインメントを妨げるどころか、生成モデルのプロンプトへの応答性を高めることが多く、悪用者が意図せずして、より目的に沿った出力を生成することを可能にします。このような保護は画像編集プロセスに支障をきたすものではなく、悪意のあるエージェントによる無許可の素材のコピーを阻止できない可能性があります。

「敵対的撹乱の使用による意図しない結果は、既存の方法の脆弱性を明らかにし、より効果的な保護技術の緊急の必要性を強調しています。」

著者らは、予想外の結果は拡散モデルの仕組みに起因すると説明している。LDMは、まず画像を「 潜在的な; この潜在変数にノイズが追加されます 多くのステップを経てデータがほぼランダムになるまで。

モデルは生成中にこのプロセスを逆転させ、段階的にノイズを除去します。この逆転の各段階で、テキストプロンプトがノイズの除去方法を指示し、プロンプトに一致するように画像を徐々に形作ります。

保護されていない画像と PhotoGuard で保護された画像から生成された画像の比較。中間の潜在状態は視覚化のために画像に変換し直されています。

保護手法は、元の画像がこの処理に入る前に、少量のノイズを追加します。これらの変化は最初は小さいものですが、モデルが独自のノイズ層を適用するにつれて蓄積されていきます。

この蓄積により、モデルがノイズ除去を開始すると、画像のより多くの部分が「不確実」になります。不確実性が高まると、モデルは欠落している詳細を補うためにテキストプロンプトに大きく依存し、プロンプトは 通常よりもさらに大きな影響力を持つ.

実際には、保護により、AI がプロンプトに合わせて画像の形状を変更するのが難しくなるのではなく、容易になります。

最後に、著者らは、 悪意あるAIによる画像編集のコスト上昇 pアペル 純粋なガウスノイズの場合。

結果は先ほど観察されたのと同じパターンを示しました。すべてのテストにおいて、パーセンテージ変化の値はプラスのままでした。このランダムで構造化されていないノイズによっても、生成された画像とプロンプト間の整合性が強化されました。

Flickr8k データセットにおけるガウスノイズを使用したシミュレートされた保護の効果。

これは、デザインに関係なく、追加されたノイズによって生成中にモデルに大きな不確実性が生じ、テキスト プロンプトが最終画像をさらに制御できるようになるという根本的な説明を裏付けました。

まとめ：

研究の現場では、LDM が登場して以来ほぼずっと、LDM 著作権問題に対する敵対的な混乱が続いてきましたが、この方向性で発表された膨大な数の論文から、弾力性のある解決策は生まれていません。

課された妨害によって画像の品質が過度に低下するか、パターンが操作や変換のプロセスに対して耐性がないことが判明します。

しかし、代替案としてはAdobe主導のサードパーティ監視および出所フレームワークがあると思われるため、この夢を放棄するのは難しい。 C2PAスキームは、カメラセンサーからの画像の管理の連鎖を維持しようとしますが、描写されるコンテンツとの本質的なつながりはありません。

いずれにせよ、新しい論文が示唆しているように、敵対的撹乱が実際に問題を悪化させているのであれば、そのような手段による著作権保護の追求は「錬金術」に該当するのではないかと疑問に思う。

初版発行日：9年2025月XNUMX日（月）