AI 绘画侵权实锤，扩散模型可能记住你的照片，现有隐私保护方法全部失效

AI 绘画侵权，实锤了！

最新研究表明，扩散模型会牢牢记住训练集中的样本，并在生成时"依葫芦画瓢"。

也就是说，像 Stable Diffusion 生成的 AI 画作里，每一笔背后都可能隐藏着一次侵权事件。

不仅如此，经过研究对比，扩散模型从训练样本中"抄袭"的能力是 GAN 的 2 倍，且生成效果越好的扩散模型，记住训练样本的能力越强。

这项研究来自 Google、DeepMind 和 UC 伯克利组成的团队。

论文中还有另一个糟糕的消息，那就是针对这个现象，现有的隐私保护方法全部失效。

消息一出，网友炸开了锅，论文作者的相关推特转发眼看就要破千。

有人感慨：原来说它们窃取他人版权成果是有道理的！

支持诉讼！告他们！

有人站在扩散模型一侧说话：

也有网友将论文结果延伸到当下最火的 ChatGPT 上：

现有隐私保护方法全部失效

扩散模型的原理是去噪再还原，所以研究者要研究事情其实就是：

它们到底有没有记住用来训练的图像，最后在生成时进行"抄袭"？

训练集里的图像往往从互联网大海中捞取，有版权的、有商标的，有的还有隐私性，比如私人的医疗 X 光片什么的。

为了弄清楚扩散模型到底能不能记忆和再生个体训练样本，研究人员首先提出了"记忆"的新定义。

一般来说，关于记忆的定义集中在文本语言模型上，如果可以提示模型从训练集中恢复一个逐字序列，就表示这个序列被提取和记忆了。

与之不同，研究团队基于图像相似度来定义"记忆"。

不过团队也坦白讲，对于"记忆"的定义是偏向保守的。

举个例子，左图是用 Stable Diffusion 生成的一张照片，这张照片和右图任何一张特定训练图像都不神似，因此这个图像不能算作根据记忆生成。

但这并不表示 Stable Difusion 生成新的可识别图片的能力不会侵害版权和隐私。

接着，他们提取了包含个人照片、公司招标在内的 1000 多个训练样本，然后设计了一个两阶段的数据提取攻击（data extraction attack）。

具体操作是使用标准方法生成图像，然后标记那些超过人工推理评分标准的图像。

在 Stable Diffusion 和 Imagen 上应用这种方法，团队提取了超过 100 个近似或相同的训练图像副本。

既有可识别出的个人照片，也有商标标识，经过查验，大部分都是有版权的。

而后，为了更好地理解"记忆"是怎么发生的，研究人员从模型中采样 100 万次，在 CIFAR-10 上训练了几百个扩散模型。

目的是分析模型准确性、超参数、增强和重复数据删除中，哪些行为会对隐私性产生影响。

最终得出了如下结论：

首先，扩散模型比 GAN 记忆更多。

但扩散模型也是评估的图像模型中隐私性最差的一群，它们泄漏的训练数据是 GANs 的两倍多。

而且，更大的模型可能会记住更多的数据。

随着这个结论，研究人员还研究了 20 亿参数的文本-图像扩散模型 Imagen，他们尝试提取出 500 张分布外得分最高的图像，让它们作为训练数据集中的样本，发现都被记忆了。

相比之下，同样的方法应用在 Stable Difusion 上，没有识别出任何记忆行为。

因此，在复制和非复制图像上，Imagen 比 Stable Difusion 隐私性更差，研究人员把原因归结于 Imagen 使用的模型比 Stable Difusion 容量大，因此记得的图像越多。

此外，更好的生成模型（FID 值更低）存储的数据更多。

换句话来讲，随着时间的推移，同一个模型泄露的隐私更多，侵犯的版权也更多。

（按 FID 排序的 GAN 模型，FID 值越低，效果越好）

通过训练模型，团队发现增加效用会降低隐私性，简单的防御措施（如重复数据删除）不足以完全解决记忆攻击。

因此，隐私增强技术并不能提供一个可接受的隐私-效用权衡。

最终，团队对训练扩散模型的人提出了四个建议：

• 建议将训练数据集的重复数据删除，并尽量减少过度训练；

• 建议使用数据提取攻击或其他审计技术来评估训练模型的隐私风险；

• 如果有更实用的隐私保护技术，建议尽可能使用；

• 希望 AI 生成的图片不会免费对用户提供涉及隐私的部分。

版权方未曾停止维权

研究一出，可能对正在进行的诉讼产生影响。

刚过去的 1 月底，图库老大哥盖蒂图片社（Getty Images）以侵犯版权的名义，在伦敦高等法院起诉了 Stability AI。

盖蒂图片社认为，Stability AI"非法复制和处理了数百万受版权保护的图像"，以此训练名下的 Stable Difussion。

Stable Difussion 的部分训练数据是开源的。经过分析和查验水印发现，包括盖蒂在内的许多图片社都不知不觉间为 Stable Difussion 的训练集提供了大量素材，占比不小。

但从始至终，Stability AI 都没有与图片社对接过。

许多 AI 公司都认为这种做法受到美国合理使用原则等法律的保护，但大部分版权所用者都不同意这种说法，认为这种行为侵犯了自己的权益。

虽然 Stability AI 之前发表声明，说下个版本中，版权所有者可以在训练图库中删掉自己的版权作品，但现阶段仍然有人不服。

1 月中旬的时候，三位艺术家已经对 Stability AI 以及 Midjourney 提起诉讼。

法律专家也各执一词，为达成统一意见，但他们纷纷同意法院需要针对版权保护问题做出裁决。

盖蒂图片社的 CEO Craig Peters 表示，公司已经向 Stability AI 发了通知，表示"你就快在英国吃官司啦"！

公司还放话：

我们对侵权行为带来的损失并不计较，也无意让 AI 艺术工具停止开发。

把 Stability AI 告上法庭并不是为了我们盖蒂一家的利益。

选择起诉有更深层次的长期目的，希望法院设定新的法律来规范现状。

参考链接：

• [1]https://arxiv.org/pdf/2301.13188.pdf

• [2]https://www.theverge.com/2023/1/17/23558516/ai-art-copyright-stable-diffusion-getty-images-lawsuit

• [3]https://twitter.com/Eric_Wallace_/status/1620449934863642624

本文来自微信公众号：量子位 （ID：QbitAI），作者：衡宇