на авторите: 1) Ликун Чанг б) да се въздържат от (3) Линкюй Чанг 4) Фънгюан Сю 5) Джини Джини; 6) Фънхуа Ли (7) Бен Ниу Authors: 1) Ликун Чанг б) да се въздържат от (3) Линкюй Чанг 4) Фънгюан Сю 5) Джини Джини; 6) Фънхуа Ли (7) Бен Ниу Левицата на масата Abstract and Introduction Background & Related Work 2.1 Text-to-Image Diffusion Model 2.2 Watermarking Techniques 2.3 Preliminary 2.3.1 [Problem Statement](https://hackernoon.com/preview/2x1yHRqHVmhjmOG0ig2c) 2.3.2 [Assumptions](https://hackernoon.com/preview/2x1yHRqHVmhjmOG0ig2c) 2.4 Methodology 2.4.1 [Research Problem](https://hackernoon.com/preview/2x1yHRqHVmhjmOG0ig2c) 2.4.2 [Design Overview](https://hackernoon.com/preview/2x1yHRqHVmhjmOG0ig2c) 2.4.3 [Instance-level Solution](https://hackernoon.com/preview/2x1yHRqHVmhjmOG0ig2c) 2.5 Statistical-level Solution Experimental Evaluation 3.1 Settings 3.2 Main Results 3.3 Ablation Studies 3.4 Conclusion & References абстрактна По-специално, противникът може да експлоатира данните, създадени от търговски модел, за да ги обучи без подходящо разрешение. За да се отговори на този риск, е от решаващо значение да се разследва приписването на данните за обучение на подозрителен модел, като се определи дали данните за обучението му произхождат, изцяло или частично, от конкретен източник. За да проследим генерираните данни, нашите съществуващи методи изискват прилагане на допълнителни водни знаци по време на обучението или фазите на заключение на изходния модел. Въпреки това, тези методи са непрактични за предварително обучени модели, които са били освободени, особено когато собствениците на модели нямат опит в областта на сигурността. За да се справим с това предизвикателство, ние предлагаме да се приписват Likun Zhang, Hao Wu, Lingcui Zhang, Fengyuan Xu, Jin Cao, Fenghua Li, Ben Niu. 2024. Признаване на данни за обучение: Вашият модел е бил тайно обучен за данни, създадени от мен? В . ACM, Ню Йорк, Ню Йорк, САЩ, 9 страници. https://doi.org/10.1145/nnnnnnnnn.nnnnnnnnn ACM Reference Format: 1 Въведение Системите за генериране на текст към изображение, базирани на дифузионни модели, се превърнаха в популярни инструменти за създаване на цифрови изображения и художествени творения [16, 17]. Като се има предвид незабавното въвеждане на естествен език, тези генериращи системи могат да синтезират цифрови изображения с високо естетическо качество. Въпреки това, обучението на тези модели е доста интензивна задача, изискваща значителни количества данни и ресурси за обучение. Те правят такива модели ценни интелектуални свойства за собствениците на модели, дори ако структурите на моделите обикновено са публични. Една значителна загриженост за такива модели е неразрешеното използване на генерираните от тях данни [10]. Както е показано на фигура 1, нападателят може потенциално да зададе заявка към търговски модел и да събере данните, генерирани от модела, след което да използва генерираните данни, за да обучи персонализирания си модел. Тази атака вече е повдигнала тревога сред разработчиците на търговски модели. Някои водещи компании, например, MidJourney [14] и ImagenAI [7], са изрично заявили в своите потребителски условия, че такива практики не са позволени, както е показано на фигура 2. За да се справи с задачата, може да се помисли за използването на техники за водно маркиране за изпълнение на задачата. Съществуващите методи за водно маркиране обикновено могат да бъдат категоризирани в два вида: едно включва вграждане на водни знаци в данните за обучение по време на етапа на обучение на модела [11, 12, 28], а другото добавя водни знаци към изходите на модела след обучение [10], така че генерираните данни съдържат проследими характеристики на водни знаци. Въпреки това, има два проблема съществуващите работи не се отнасят изцяло. Първо, по отношение на осъществимостта, остава неизследвано дали един източник модел, веднъж маркиран с вода, може успешно да прехвърли своя воден знак към подозрителен модел чрез генерирани данни. Второ, по отношение В тази статия целта ни е да открием индикаторите, естествено вградени в изходния модел, които могат да бъдат прехвърлени на всеки модел, обучен по данни, произведени от изходния модел. Тези присъщи водни знаци могат да разкрият връзката между източника и подозрителните модели. За разлика от изкуствено инжектираните водни знаци, тези присъщи индикатори не изискват модификации в алгоритъма за обучение или изходите на модела. Рационалността на нашия подход произтича от феномена на запомняне, демонстриран от моделите за генериране на текст към изображение. Меморизацията означава способността на модела да запомня и възпроизвежда изображения на определени тренировъчни образци, когато моделът е подтикнат от съответните текстове по време на заключение [23]. Изследванията показват, че такова запомняне в генериращите модели не е случайно. Напротив, моделите с по-високи постижения и по-силни способности за обобщаване демонстрират по-забележима памет [23]. Въпреки че е обещаващо, прилагането на феномена на запомняне за постигане на нашата цел не е просто. Дори ако успеем да проведем успешна тренировка за извличане на данни по подозрителния модел, както е предложено в [3], информацията, която получаваме, е данните, генерирани от изходния модел. Като се има предвид, че пространството за генериране на изходния модел е огромно, става трудно да се провери дали извлечените данни са генерирани от изходния модел. В тази статия предлагаме практически метод без инжектиране на данни, за да определим дали подозрителен модел е бил обучен с помощта на данни, генерирани от определен източник модел. Нашият подход разглежда както инстанционните нива, така и статистическите характеристики на поведението на източника модел, които се третират като част от присъщите показатели за проследяване на генерираните данни срещу неразрешено използване. По-специално, на ниво инстанция, ние разработваме две стратегии за избор на набор от ключови образци (под формата на текстови и графични двойки) в рамките на данните за обучение на източника модел. Този набор е избран, за да се максимизира феномена на запомняне. След това използваме текстовете в тези образци, за да зададем въпрос на подозрителния модел Експерименталните резултати показват, че нашето решение за атрибуция на ниво инстанция е надеждно за идентифициране на нарушаващ модел с висока степен на доверие над 0,8. Дори когато нарушаващият модел използва само малка част като 30% от генерираните данни, доверието на атрибуцията е над 0,6, наравно с съществуващия метод за атрибуция на базата на воден знак. Our main contributions are summarized as: Фокусирайки се върху проблема с нарушаването на потребителските термини, причинено от злоупотребата с генерирани данни от предварително обучени текстово-изобразителни модели, ние формулираме проблема като приписване на данни за обучение в реалистичен сценарий. Предлагаме две нови решения без инжектиране, за да се приписват данните за обучение на подозрителен модел на изходния модел както на ниво инстанция, така и на статистическо ниво. Резултатите показват, че изпълнението му е на равна основа с съществуващия подход за атрибуция на водни знаци, където водни знаци се инжектират преди внедряването на модел. Останалата част от статията е организирана по следния начин.Ние въвеждаме основните знания и свързаните с тях работи в раздел 2. раздел 3 описва предварителните и нашите предположения.След това, раздел 4 представя подробно нашия изследователски въпрос и подхода за приписване.Резултатите от експерименталната оценка са докладвани в раздел 5. Тази статия е достъпна под лиценза CC BY 4.0. Тази статия е достъпна под лиценза CC BY 4.0.
