Новое исследование показывает, что инструменты для водяных знаков, предназначенные для блокировки редактирования изображений с помощью ИИ, могут иметь обратный эффект. Вместо того чтобы останавливать такие модели, как Stable Diffusion, от внесения изменений, некоторые средства защиты помогают ИИ более точно следовать указаниям по редактированию, упрощая нежелательные манипуляции.
Литература по компьютерному зрению
В литературе по компьютерному зрению существует заметное направление, посвящённое защите изображений, защищённых авторскими правами, от использования в моделях ИИ или в процессах прямого преобразования изображений. Системы такого рода обычно нацелены на модели латентной диффузии (LDM), такие как Stable Diffusion и Flux, которые используют процедуры на основе шума для кодирования и декодирования изображений.
Методы защиты
Вводя состязательный шум в изображения, которые выглядят совершенно нормально, можно заставить детекторы изображений неправильно угадывать содержание изображения и препятствовать использованию системами, генерирующими изображения, данных, защищённых авторскими правами.
Примеры из исследования MIT
Примеры исходного изображения, «иммунизированного» против манипуляций (нижний ряд). Источник: https://arxiv.org/pdf/2302.06588
С момента протестов художников против либерального использования Stable Diffusion веб-изображений (включая защищённые авторским правом) в 2023 году, в научных кругах появилось множество вариаций на ту же тему — идея о том, что изображения можно «отравить» так, чтобы они не использовались в системах ИИ или не попадали в конвейеры генеративного ИИ, без ухудшения качества изображения для обычного зрителя.
Качество исследований
Качество исследовательского PDF-файла не полностью иллюстрирует проблему, но чем больше состязательных возмущений, тем больше жертва качества ради безопасности.
Защита авторских стилей
Художников, стремящихся защитить свои стили от несанкционированного присвоения, интересует способность таких систем не только скрывать личность и другую информацию, но и «убеждать» процесс обучения ИИ, что он видит нечто иное, чем есть на самом деле, чтобы связи между семантическими и визуальными областями для «защищённых» данных обучения не формировались (например, подсказка «В стиле Пауля Клее»).
Туман и Глазурь — два популярных метода внедрения, способных предотвратить или, по крайней мере, серьёзно затруднить попытки использовать защищённые авторским правом стили в рабочих процессах ИИ и обучающих процедурах. Источник: https://arxiv.org/pdf/2506.04394
Цель исследования
Новое исследование из США показало, что возмущения не только не защищают изображение, но и могут улучшить его использование в процессах ИИ, против которых возмущения предназначены для защиты.
Авторы утверждают, что методы, основанные на возмущениях, возможно, не обеспечивают достаточного решения для надёжной защиты изображений от редактирования на основе диффузии.
Метод исследования
Авторы провели эксперименты, используя три метода защиты, которые применяют тщательно разработанные состязательные возмущения: PhotoGuard; Mist; и Glaze.
PhotoGuard был применён к изображениям природных сцен, а Mist и Glaze — к произведениям искусства.
Эффективность каждого метода оценивалась путём проверки того, может ли модель ИИ по-прежнему производить реалистичные и соответствующие подсказкам изменения при работе с защищёнными изображениями.
Результаты
Несмотря на наличие возмущений, Stable Diffusion v1.5 успешно следовала как небольшим, так и большим семантическим изменениям в подсказках при редактировании, создавая реалистичные выходные данные, соответствующие новым инструкциям.
Метрики
Чтобы оценить, насколько хорошо защита мешает редактированию ИИ, исследователи измерили, насколько точно окончательные изображения соответствовали инструкциям, которые им были даны, используя системы оценки, которые сравнивали содержание изображения с текстовой подсказкой.
Заключение
Несмотря на то что научное сообщество активно работает над решением проблемы защиты авторских прав с помощью состязательных возмущений, надёжных решений пока не появилось. Либо наложенные возмущения чрезмерно снижают качество изображения, либо они оказываются нестойкими к манипуляциям и трансформационным процессам.