Защищённые изображения легче украсть с помощью ИИ, а не сложнее
Исследования показывают, что популярные методы защиты изображений от ИИ могут не только не сработать, но и облегчить точное редактирование и копирование изображений искусственным интеллектом.
Методы защиты изображений от ИИ и неожиданные последствия
Недавние исследования показывают, что водяные знаки и методы добавления шумов, призванные предотвратить редактирование или кражу изображений искусственным интеллектом, могут иметь обратный эффект. Вместо того чтобы блокировать модели ИИ, такие как Stable Diffusion, от манипулирования изображениями, эти методы могут заставлять ИИ точнее следовать инструкциям, облегчая несанкционированные изменения.
Проблема защиты авторских изображений в ИИ
Многие системы пытаются защитить авторские изображения от обучения моделей латентной диффузии (LDM), таких как Stable Diffusion и Flux, путём добавления противодействующих шумов, которые сбивают с толку детекторы изображений и мешают эксплуатации ИИ. Эти возмущения нацелены на «отравление» изображений незаметным образом, не ухудшая визуального качества для обычных зрителей.
Баланс между защитой и качеством изображения
Существует прямая зависимость между интенсивностью возмущений и уровнем защиты: чем сильнее шум, тем лучше защита, но хуже качество изображения. Проекты, такие как ‘Fawkes’ Университета Чикаго, демонстрируют этот компромисс — более сильные возмущения снижают качество картинки.
Популярные методы и их ограничения
Методы Mist и Glaze разработаны для предотвращения несанкционированного использования стилей художников, вводя ИИ в заблуждение при обучении. Однако новое исследование из США обнаружило, что эти возмущения не только не защищают изображения, но и могут улучшать способность ИИ создавать результаты, более точно соответствующие запросам.
Результаты экспериментов
Исследователи протестировали три метода возмущений — PhotoGuard, Mist и Glaze — на естественных и художественных изображениях из наборов Flickr8k, Flickr1024 и WikiArt. Оценивались задачи редактирования изображения с помощью Stable Diffusion v1.5.
Для эксперимента были созданы близкие и далекие по смыслу подписи, а для оценки качества и соответствия использовались метрики BRISQUE, CLIP-S и PAC-S++.
Неожиданно, защищённые возмущениями изображения часто редактировались ИИ с более высоким соответствием запросам и сохраняли или даже улучшали качество, что говорит о том, что защита иногда облегчает, а не препятствует манипуляциям.
Почему так происходит?
Модели латентной диффузии кодируют изображения в сжатые латенты и добавляют шум, затем восстанавливают картинку, руководствуясь текстовым запросом. Возмущения добавляют дополнительный шум, увеличивая неопределённость в латентном пространстве. Это заставляет модель сильнее опираться на текстовый запрос для восстановления деталей, делая правки ИИ более точными и соответствующими запросу.
Последствия и перспективы
Эти выводы ставят под сомнение эффективность возмущений как надёжного способа защиты изображений от редактирования диффузионными моделями. Исследование подчёркивает необходимость разработки более устойчивых решений, возможно, с использованием систем отслеживания происхождения изображений, таких как C2PA от Adobe. Пока же текущие методы могут создавать ложное чувство безопасности и требуют тщательной проверки на устойчивость к современным методам ИИ.
Switch Language
Read this article in English