Anderson’un Açısı
‘Korunan’ Görüntüler Aslında Daha Kolay Çalınabiliyor

Yeni bir araştırma, AI görüntü düzenlemelerini engellemesi amaçlanan su işareti araçlarının aslında ters etki yaratabileceğini gösteriyor. Bu korumaların, Stable Diffusion gibi modellerin değişikliklere karşı daha duyarlı olmasını sağladığını ve istenmeyen manipülasyonları daha da kolaylaştırabileceğini ortaya koyuyor.
Bilgisayarlı görü görüşünde, telif hakkı korumalı görüntülerin AI modellerine karşı korunmasına yönelik önemli bir araştırma alanı bulunmaktadır. Bu sistemler, genellikle Latent Diffusion Modelleri (LDM’ler) olarak bilinen Stable Diffusion ve Flux gibi modelleri hedeflemektedir. Bu modeller, gürültü tabanlı prosedürler kullanarak görüntüleri kodlar ve dekodlar.
Görüntülere karşıt gürültü ekleyerek, görüntü dedektörlerinin görüntü içeriğini yanlış tahmin etmesine ve görüntü oluşturma sistemlerinin telif hakkı korumalı verilerini kullanmasını engellemek mümkündür:

MIT’nin ‘Raising the Cost of Malicious AI-Powered Image Editing’ adlı makalesinden, bir kaynak görüntüsünün manipülasyona karşı ‘korunması’ örnekleri (alt satır). Kaynak: https://arxiv.org/pdf/2302.06588
2023 yılında Stable Diffusion’ın web’den topladığı ve telif hakkı korumalı olan görüntüleri liberal bir şekilde kullanmasıyla başlayan bir sanatçı tepkisi之后, araştırma sahası bu konuya benzer varyasyonlar üretmeye devam etti – yani görüntülerin görünmez bir şekilde ‘zehirlenerek’ AI sistemlerine veya generatif AI boru hatlarına karşı korunabileceği fikri.
Bununla birlikte, tüm durumlarda, uygulanan pertürbasyonun şiddeti ile görüntünün korunması arasındaki doğrudan bir ilişki vardır ve görüntünün kalitesi de bundan etkilenir:

Araştırma PDF’sinin kalitesi tam olarak sorunu göstermese de, daha fazla advers pertürbasyon kaliteyi feda ederek güvenliği sağlar. Burada, 2020’de Chicago Üniversitesi tarafından yürütülen ‘Fawkes’ projesindeki kalite bozukluklarının tümünü görüyoruz. Kaynak: https://arxiv.org/pdf/2002.08327
Sanatçıların stillerini yetkisiz kullanımına karşı korumak isteyenler için, bu sistemlerin sadece kimliği ve diğer bilgileri bulanıklaştırmakla kalmayıp, aynı zamanda AI eğitim sürecine gerçekten gördüklerinden farklı bir şey gördüğünü ‘ikna’ etme kapasitesi de önemlidir, böylece ‘korunmuş’ eğitim verisi için semantik ve görsel alanlar arasında bağlantılar oluşmaz (örneğin, ‘Paul Klee’nin stili’ gibi bir.prompt).

Mist ve Glaze, AI iş akışlarında ve eğitim rutinlerinde telif hakkı korumalı stillerin kullanımını önlemek veya en azından ciddi şekilde engellemek için popüler enjeksiyon yöntemleridir. Kaynak: https://arxiv.org/pdf/2506.04394
Kendi Golü
Şimdi, yeni bir ABD araştırması, yalnızca pertürbasyonların bir görüntüyü korumakta başarısız olabileceğini değil, aynı zamanda pertürbasyon eklemenin aslında AI işlemlerinin geliştirilmesine yol açabileceğini buldu.
Makalede denir:
‘Çeşitli pertürbasyon tabanlı görüntü koruma yöntemlerini farklı alanlarda (doğal sahne görüntüleri ve sanat eserleri) ve düzenleme görevlerinde (görüntüden görüntüye oluşturma ve stil düzenleme) test ettik ve bu korumanın amacına tamamen ulaşmadığını keşfettik.
‘Çoğu senaryoda, korunan görüntülerin difüzyon tabanlı düzenlenmesi, rehberlik promtına çok yakın bir şekilde uyumlu bir çıktı görüntüsü üretir.
‘Buluntularımız, gürültü eklenmesinin paradoksal olarak görüntülerin verilen metin promtlarına karşı daha güçlü bir ilişkiye yol açabileceğini ve istenmeyen sonuçlara, yani daha iyi düzenleme sonuçlarına yol açabileceğini gösteriyor.
‘Bu nedenle, pertürbasyon tabanlı yöntemlerin güçlü görüntü koruması için yeterli bir çözüm sağlamayabileceğini savunuyoruz.’
Testlerde, korunan görüntüler iki tanıdık AI düzenleme senaryosuna maruz bırakıldı: doğrudan görüntü-görüntü oluşturma ve stil transferi. Bu süreçler, AI modellerinin korunan içeriği nasıl sömürebileceği konusunda ortak yollardır.
Korumalı görüntüler, standard fotoğraf ve sanat eseri kaynaklarından alındı ve bu görüntüler AI düzenleme boru hatlarına sokularak korumanın düzenlemeleri engelleyip engellemediği veya bozup bozmadığı test edildi.
Bunun yerine, korumanın varlığı genellikle modelin promtlara uyumuştur ve temiz, gerçekçi çıktılar üretmiştir.
Araştırmacılar, bu popüler koruma yönteminin aslında yanlış bir güvenlik hissi verebileceğini ve bu tür pertürbasyon tabanlı koruma yaklaşımlarının kendi yöntemlerine karşı dikkatli bir şekilde test edilmesi gerektiğini tavsiye ediyor.
Yöntem
Araştırmacılar, üç koruma yöntemiyle deneyler yaptı: PhotoGuard; Mist; ve Glaze.

Araştırmacıların test ettiği çerçevelerden biri olan Glaze, üç sanatçı için Glaze koruma örneklerini gösteriyor. İlk iki sütun orijinal sanat eserlerini gösteriyor; üçüncü sütun, koruma olmadan benzeme sonuçlarını gösteriyor; dördüncü sütun, p = 0.05 ve p = 0.1 pertürbasyon seviyelerinde cloaking için optimize edilmiş stil aktarılmış sürümleri ve hedef stil adlarını gösteriyor. Tüm sonuçlar Stable Diffusion modellerini kullanıyor. https://arxiv.org/pdf/2302.04222
PhotoGuard, doğal sahne görüntülerine uygulanırken, Mist ve Glaze sanat eserlerine (yani ‘sanatsal stiller’) uygulandı.
Testler, hem doğal hem de sanatsal görüntüleri kapsayacak şekilde gerçekleştirildi. Her yöntemin etkinliği, AI modelinin korunan görüntüleri gerçekçi ve promt-uyması bir çıktı üretip üretmediğine göre değerlendirildi; eğer korunan bir görüntü hala yüksek bir uyumlu çıktı üretirse, koruma başarısız olarak kabul edilir.
Stable Diffusion v1.5 önceden eğitilmiş görüntü oluşturucu olarak kullanıldı. Beş tohum seçildi: 9222, 999, 123, 66 ve 42. Tüm diğer oluşturma ayarları, rehberlik ölçeği, güç ve toplam adımlar, PhotoGuard deneylerinde kullanılan varsayılan değerleri izledi.
PhotoGuard, Flickr8k veri kümesiyle test edildi. Bu veri kümesi, her biri beş adet kaptan fazla olan 8.000’den fazla görüntüyü içerir.
Karşıt Düşünceler
İki adet değiştirilmiş kaptan oluşturuldu: biri orijinal kaptan bağlamsal olarak yakın promt içerirken, diğeri bağlamsal olarak uzak promt içeriyordu.
Örneğin, orijinal kaptan ‘Pembe bir elbise giyen bir genç kız ahşap bir kulübe giriyor’, yakın bir promt ‘Mavi bir gömlek giyen bir genç erkek tuğla bir eve giriyor’ olabilir. Buna karşılık, uzak bir promt ‘Kanepede uzanan iki kedi’ olabilir.
Yakın promtler, isim ve sıfatları benzer anlamlı terimlerle değiştirerek oluşturuldu; uzak promtler ise modelin çok farklı bağlamlarda kaptan oluşturması talimatı verilerek oluşturuldu.
Tüm oluşturulan kaptanların kalitesi ve anlamsal uygunluğu elle kontrol edildi. Google’un Universal Sentence Encoder kullanılarak orijinal ve değiştirilmiş kaptanların anlamsal benzerlik puanları hesaplandı:

Ek materyallerden, Flickr8k testlerinde kullanılan değiştirilmiş kaptanların anlamsal benzerlik dağılımları. Sol grafik, yakın değiştirilmiş kaptanların benzerlik puanlarını, ortalama yaklaşık 0.6 olarak gösterir. Sağ grafik, uzak değiştirilmiş kaptanların benzerlik puanlarını, ortalama yaklaşık 0.1 olarak gösterir ve orijinal kaptanlardan daha büyük bir anlamsal uzaklık gösterir. Değerler Google’un Universal Sentence Encoder ile hesaplandı. Kaynak: https://sigport.org/sites/default/files/docs/IncompleteProtection_SM_0.pdf
Her görüntü, korunan ve korunmayan halleriyle birlikte, hem yakın hem de uzak promtlerle düzenlendi. Blind/Referenceless Image Spatial Quality Evaluator (BRISQUE) kullanılarak görüntü kalitesi değerlendirildi:

PhotoGuard tarafından korunmuş doğal fotoğrafların görüntü-görüntü oluşturma sonuçları. Pertürbasyonların varlığına rağmen, Stable Diffusion v1.5 düzenleme promtındaki küçük ve büyük değişikliklere başarılı bir şekilde uyumlu çıktı üretti.
Oluşturulan görüntülerin BRISQUE puanı 17.88 idi, yakın promtler için 17.82 ve uzak promtler için 17.94, orijinal görüntülerin puanı ise 22.27 idi. Bu, düzenlenmiş görüntülerin orijinallerine göre kalite açısından yakın olduğunu gösteriyor.
Metrikler
Araştırmacılar, korumaların AI düzenleme işlemlerini nasıl etkilediğini değerlendirmek için, oluşturulan görüntülerin promtlerle ne kadar uyumlu olduğunu ölçen metriklere baktı:
Bu amaçla, CLIP-S metriği, hem görüntüleri hem de metni anlayan bir model kullanarak, görüntüleri ve metinleri ne kadar benzer olduklarını kontrol ederken, PAC-S++ ise insan tahminine daha yakın bir karşılaştırma için AI tarafından oluşturulan ek örnekleri ekler.
Bu Görüntü-Metin Hizalama (ITA) puanları, AI’nin korunan bir görüntüyü değiştirirken promtleri ne kadar iyi takip ettiğini gösterir: eğer korunan bir görüntü hala yüksek bir hizalama puanına sahipse, korumanın düzenleme işlemini engellemek için başarısız olduğu anlamına gelir.

Flickr8k veri kümesinde, beş farklı tohum kullanarak ve hem yakın hem de uzak promtleri kullanarak korumanın etkisi. Hizalama, CLIP-S ve PAC-S++ puanlarıyla ölçüldü.
Araştırmacılar, AI’nin korunan ve korunmayan görüntüleri düzenlerken promtleri ne kadar iyi takip ettiğini karşılaştırdı. İlk olarak, korunan ve korunmayan görüntüler arasındaki Gerçek Değişim farkını incelediler, ardından bu farkı Yüzde Değişim olarak ölçeklendirdiler, böylece sonuçları kolayca karşılaştırabilir hale getirdiler.
Bu süreç, korumaların AI’nin promtleri takip etmesini daha zor hale getirip getiremediğini veya daha kolay hale getirip getiremediğini ortaya koydu. Testler, hem küçük hem de büyük kaptan değişikliklerini kapsayacak şekilde, beş farklı tohum kullanarak tekrarlandı.
Sanatsal Saldırı
Doğal fotoğraflar için testler, Flickr1024 veri kümesini kullanarak gerçekleştirildi. Bu veri kümesi, binlerce yüksek kaliteli görüntü içerir. Her görüntü, ‘stili [V]’ye değiştir formatında promtlerle düzenlendi, burada [V] yedi ünlü sanat stilini temsil ediyordu: Kübizm; Post-İmpresyonizm; İmpresyonizm; Sürealizm; Barok; Fovizm; ve Rönesans.
İşlem, orijinal görüntülere PhotoGuard’u uygulamayı, korumalı sürümler oluşturmayı ve sonra hem korumalı hem de korunmayan görüntüleri aynı stil transferi düzenleme işlemlerine tabi tutmayı içeriyordu:

Orijinal ve korumalı bir doğal sahne görüntüsünün, Kübizm, Sürealizm ve Fovizm stillerine göre düzenlenmiş halleri.
Sanat eserleri için koruma yöntemlerini test etmek amacıyla, stil transferi WikiArt veri kümesindeki görüntüler üzerinde gerçekleştirildi. Düzenleme promtleri, önceki gibi, ‘stili [V]’ye değiştir formatında oluşturuldu, ancak bu kez WikiArt etiketlerinden rastgele seçilen bir stil kullanıldı.
Hem Glaze hem de Mist koruma yöntemleri görüntülere uygulanarak, her bir korumanın stil transferi sonuçlarını nasıl etkilediği gözlemlendi:

Koruma yöntemlerinin sanat eserleri üzerindeki stil transferi sonuçlarını nasıl etkilediğine dair örnekler. Orijinal Barok görüntüsü, Mist ve Glaze tarafından korunmuş sürümleriyle birlikte gösteriliyor. Kübizm stil transferi uygulandıktan sonra, her korumanın nihai çıktıyı nasıl değiştirdiği görülüyor.
Araştırmacılar, bu karşılaştırmaları nicel olarak da değerlendirdiler:

Stil transferi düzenleme sonuçlarındaki görüntü-metin hizalama puanlarındaki değişiklikler.
Bu sonuçlar hakkında araştırmacılar şunları söylüyor:
‘Sonuçlar, advers pertürbasyonların koruma için önemli bir sınırlılığını vurguluyor. Düzenleme işlemini engellemek yerine, advers pertürbasyonlar genellikle generatif modelin promtlara tepkisini artırarak, saldırganların daha uyumlu çıktılar üretmesine olanak tanır. Bu tür bir koruma, görüntü düzenleme işlemini bozmaz ve yetkisiz materyalin kopyalanmasını önlemek için yeterli olmayabilir.
‘Advers pertürbasyonların kullanımının istenmeyen sonuçları, mevcut yöntemlerdeki zayıflıkları ortaya koyuyor ve daha etkili koruma tekniklerine acil bir ihtiyaç olduğunu vurguluyor.’
Araştırmacılar, bu beklenmedik sonuçların difüzyon modellerinin çalışma şekline dayandığını açıklıyor: LDM’ler görüntüleri, önce bir latente olarak adlandırılan sıkıştırılmış bir forma dönüştürerek düzenler; sonra bu latente birçok adımda gürültü ekler, sonunda veri neredeyse rastgele hale gelir.
Model, bu işlemi tersine çevirerek görüntü oluşturur, her adımda gürültüyü kaldırır. Bu ters işlem sırasında, metin promtı, gürültünün nasıl temizleneceğini rehberlik eder, böylece görüntüyü promtla uyumlu hale getirir:

Korumalı ve korunmayan görüntülerin oluşturulma sürecinin karşılaştırılması, ara latente durumların görüntülere dönüştürülmesi.
Koruma yöntemleri, orijinal görüntüye küçük miktarda ek gürültü ekler. Bu pertürbasyonlar başlangıçta küçük olsa da, modelin kendi gürültü katmanlarını uygulamasıyla birlikte birikir.
Bu biriken gürültü, modelin gürültüyü kaldırmaya başladığında görüntünün daha fazla bölümünün ‘belirsiz’ hale gelmesine neden olur. Belirsizlik arttıkça, model metin promtına daha çok güvenir, böylece promt daha da fazla etkiye sahip olur.
Bu nedenle, korumalar aslında AI’nin görüntüyü promtla uyumlu hale getirmesini daha kolay hale getirir, değil daha zor.
Son olarak, araştırmacılar Raising the Cost of Malicious AI-Powered Image Editing makalesinden tasarlanmış pertürbasyonları saf Gaussian gürültüyle değiştirdiler.
Sonuçlar, önceki gözlemlerle aynı doğrultuda kaldı: tüm testlerde Yüzde Değişim değerleri pozitifti. Hatta bu rastgele, yapısız gürültü bile, oluşturulan görüntülerin promtlerle daha güçlü bir hizalamasına yol açtı.

Flickr8k veri kümesinde, simüle edilmiş koruma kullanarak Gaussian gürültüsünün etkisi.
Bu, eklenen gürültünün, tasarımı ne olursa olsun, modelin oluşturma sırasında daha fazla belirsizlik yaratmasına ve metin promtının daha fazla etkiye sahip olmasına yol açtığı görüşünü destekledi.
Sonuç
Araştırma sahası, LDM’lerin ortaya çıkmasından bu yana, telif hakkı korumalı görüntülere karşı advers pertürbasyon kullanmaya çalışıyor; ancak dayanıklı çözümler ortaya çıkmadı.
Pertürbasyonların ya görüntünün kalitesini aşırı derecede düşürmesi ya da dönüşüm süreçlerine karşı dayanıklı olmaması gibi sorunlar var.
Ancak, bu hayali bırakmak zor, çünkü alternatif, Adobe’nin öncülük ettiği C2PA şeması gibi üçüncü taraf izleme ve köken frameworks’lerine dayanmak gibi görünüyor, ancak bu, gösterilen içeriği içermiyor.
Eğer advers pertürbasyon gerçekten birçok durumda sorunu daha da kötüleştiriyorsa, yeni makaledeki bulguların gösterdiği gibi, böyle bir yöntem aracılığıyla telif hakkı koruması arayışının ‘simyaya’ girip girmediğini merak ediyor insan.
İlk olarak 9 Haziran 2025 Pazartesi günü yayınlandı.












