Create with AI
📄

GLAZE: ぱっと見にはわからないノイズを画像に追加することで、拡散モデルを用いたスタイルの模倣を困難にする仕組み

Entry
GLAZE: ぱっと見にはわからないノイズを画像に追加することで、拡散モデルを用いたスタイルの模倣を困難にする仕組み
Simple Title
Shan, Shawn, Jenna Cryan, Emily Wenger, Haitao Zheng, Rana Hanocka, and Ben Y. Zhao. 2023. “GLAZE: Protecting Artists from Style Mimicry by Text-to-Image Models.” arXiv [cs.CR]. arXiv. http://arxiv.org/abs/2302.04222.
Description
アーティストのスタイルが勝手に模倣されることを防ぐ Adversarial Example
Type
Paper
Year
2023
Posted at
February 17, 2023
Tags
ethicsimagesociety
Arxiv
http://arxiv.org/abs/2302.04222
Project Page
http://glaze.cs.uchicago.edu/

画像にGlazeでノイズを乗せることでスタイルの模倣が困難に
画像にGlazeでノイズを乗せることでスタイルの模倣が困難に

Overview

  • 目に見えないくらいのノイズを画像に追加することで、拡散モデルでの学習を混乱させる、ミスリードし、スタイルを学習しにくくするツールを開発。
  • アーティストのスタイルが勝手にAIによって学習されることを防ぐ。

Abstract

Recent text-to-image diffusion models such as MidJourney and Stable Diffusion threaten to displace many in the pro- fessional artist community. In particular, models can learn to mimic the artistic style of specific artists after “fine-tuning” on samples of their art. In this paper, we describe the design, implementation and evaluation of Glaze, a tool that enables artists to apply “style cloaks” to their art before sharing on- line. These cloaks apply barely perceptible perturbations to images, and when used as training data, mislead generative models that try to mimic a specific artist. In coordination with the professional artist community, we deploy user studies to more than 1000 artists, assessing their views of AI art, as well as the efficacy of our tool, its usability and tolerability of perturbations, and robustness across different scenarios and against adaptive countermeasures. Both surveyed artists and empirical CLIP-based scores show that even at low perturba- tion levels (p=0.05), Glaze is highly successful at disrupting mimicry under normal conditions (>92%) and against adaptive countermeasures (>85%).

Motivation

  • Stable DiffusionやDALL-Eなどの最近の拡散モデルはすごい! でも勝手にアーティストのスタイルを大量のデータをスクレイピングすることによって模倣するのは倫理的にどうなの?
    • アーティストに対する経済的な補償はない
    • AI生成画像が溢れることで、オリジナルのアーティストの作品がむしろ埋もれてしまうのでは?
    • 将来のアーティスト候補が時間をかけて絵を練習する・自分なりのスタイルを築くモチベーションを損なってしまうのでは (「どうせAIに模倣されてしまう..」)
  • 法的な手段に訴えても時間がかかってしまう → だったらアーティストに自分の作品を守る手段を与えよう → 目に見えないくらいのノイズを画像に追加することで、拡散モデルでの学習を混乱させる、ミスリードし、スタイルを学習しにくくするツールを開発。Glazeと名づける。
    • このノイズは論文中では Style Cloak と呼んでいる。cloakは仮面、偽装の意。

Architecture

  • 技術的なチャレンジとしては、アーティストのスタイルに関連する特徴量だけを、人の目にはぱっと見わからない程度のノイズを使って変化させること
    • 全部の特徴量をシフトさせてしまうやり方だとうまくいかないことが実験的に確認されている。
    • あまりに大きなノイズを加えてしまうと当然作品として成立しない!

  • 大まかなアルゴリズムの手順は以下の通り
    1. スタイルを保護したいアーティストの絵 (オリジナルと呼ぶ)を、まずは既存のStyle Transferの技術を使って、著名なアーティストなどのスタイル(例えば、ゴッホ風、ピカソ風 etc)にまずは変換
    2. オリジナルの絵の特徴量とスタイル変換した後の絵の特徴量の差を最小化するように、オリジナル画像を少しずつ改変=ノイズを載せていく。
アルゴリズムの概要
アルゴリズムの概要

概念図
概念図

  • 定式化すると…. 以下を最適化することになる
minδxΦ(Ω(x,T)),Φ(x+δx)22+αmax(LPIPS(δx)p,0)\min _{\delta_x}\left\|\Phi(\Omega(x, T)), \Phi\left(x+\delta_x\right)\right\|_2^2+\alpha \cdot \max \left(\operatorname{LPIPS}\left(\delta_x\right)-p, 0\right)

xx: 入力画像. Ω(x,T)\Omega(x, T): スタイル TT (例えばゴッホ風)でスタイル変換 Ω\Omegaを施したもの δx\delta_x: 画像に加えるノイズ/改変の量 Φ\Phi: 一般的な画像の特徴量の抽出モデル pp : どのくらいのノイズを許容するかの閾値 LPIPS\operatorname{LPIPS}: Learned Perceptual Image Patch Similarity - 画像の知覚上の類似度を計算する指標. αα: 学習時の重み付けの係数

  • 本研究では画像生成モデル (Stable Diffusionなど)が持つ、特徴量抽出 Φ\Phi, スタイル変換 Ω\Omega の機能を利用する
  • スタイル変換するターゲット TT はパブリックなデータセットに含まれる有名アーティストの中からランダムに選び、その絵の特徴量の平均を算出。保護しようとするアーティストの絵の特徴量の平均も同様に算出。この二つの特徴量ベクトルの距離を計算、全体の50%-75%のパーセンタイルに位置するアーティストの中からランダムに選ぶ = 保護しようとするアーティストのスタイルから適度に遠い有名アーティストをランダムに選ぶ

Results

  • 実験対象の画像生成モデルとしてStable Diffusion/DALL•E-megaを利用
    • どちらに対しても本手法が有効であることがわかった。

  • 左のオリジナルの画像を学習して生成した結果
    • 普通に学習すると真ん中のようにかなり綺麗にスタイルが模倣されているのがわかる
    • それに対して本手法を利用した場合には右のようにスタイルの学習がうまくいっていない
image

  • 定量評価
    • CLIPで絵のジャンル(印象派、キュビズム etc)を識別するモデルを用意。提案手法でノイズを載せられたオリジナル画像を学習して生成された画像は、オリジナルの画像とは違うジャンルとして識別されるようになった = スタイルの学習を阻害できている!

  • 定性評価
    • アンケートをとったアーティストのうち92%は、画像に追加されたノイズ、Cloakは気にならない、許容範囲と答えた。
    • 93%はスタイルの学習が失敗した = 提案手法でスタイルの学習を防ぐことに成功したと答えた
      • 学習データのうちの 1/4 にのみ、ノイズを加えた場合でも、学習を阻害することができた (87%のケース) → すでにネットに大量に画像が公開されているようなアーティストでも、今後公開する画像にCloakをかけることで、スタイルの模倣を阻害できる可能性がある!
    • 88%のアーティストが自分の作品を守るためにこの仕組みを使いたいという意見
  • 画像をJPEG圧縮したり、さらにノイズを載せたりしても本手法の有効性は損なわれないことも実証されている。
  • オリジナル画像(学習データ)の一部の画像にノイズを載せただけでも効果があることも証明
    • 右の図で 0% cloaked の場合はオリジナル画像のスタイルが模倣されてしまっているのに対して、25% cloaked (1/4の画像にノイズを載せた場合)でも、スタイルの模倣が阻害されている
    • すでにオンライン上に画像がたくさん上がっているアーティストでも、これから公開する画像にノイズを乗せることで自分のスタイルを守れる可能性がある
学習データのうちの一部にのみノイズをかけた場合の結果
学習データのうちの一部にのみノイズをかけた場合の結果

  • 近日中にMac/Windowsアプリを公開するとのこと!

Further Thoughts

論文を読んで考えた個人的感想

  • 画像をスケールしたりブラーを少しかけたりしたら、Cloakを剥がせる? → 画像に追加されるノイズは細かいピクセルレベルではないので、そうした変化に対しては強いとのこと。
  • 間違いなく学習する側とされる側のいたちごっこになるだろう → 本手法に対するカウンターとなる手法も提案されるはず
    • だとしても…. 学習する側/巨大AI企業があまりに強い状況がある中で、こうしたアーティストの権利を守る動きがあることは健全なAI研究の発展につながるはず
  • 上で選んでいる TT (他のアーティストのスタイル)を特定のアーティストAに固定したら、何を学習してもAさん風になるといったことができる?
  • オーディオで同じことをやったらどうなるかな?

Links

  • 関連研究) Diffusion modelでの画像の編集を難しくする研究も…