衡宇 發自 凹非寺

量子位 | 公眾號 QbitAI

AI繪畫侵權，實錘了！

最新研究表明，擴散模型會

牢牢記住

訓練集中的樣本，並在生成時“依葫蘆畫瓢”。

也就是說，像Stable Diffusion生成的AI畫作裡，每一筆背後都

可能隱藏著一次侵權事件

。

不僅如此，經過研究對比，擴散模型從訓練樣本中“抄襲”的能力是GAN的2倍，且生成效果越好的擴散模型，記住訓練樣本的能力越強。

這項研究來自Google、DeepMind和UC伯克利組成的團隊。

論文中還有另一個糟糕的訊息，那就是針對這個現象，

現有的隱私保護方法全部失效

。

訊息一出，網友炸開了鍋，論文作者的相關推特轉發眼看就要破千。

有人感慨：原來說它們竊取他人版權成果是有道理的！

支援訴訟！告他們！

有人站在擴散模型一側說話：

也有網友將論文結果延伸到當下最火的ChatGPT上：

現有隱私保護方法全部失效

擴散模型的原理是去噪再還原，所以研究者要研究事情其實就是：

它們到底

有沒有記住用來訓練的影象，最後在生成時進行“抄襲”

？

訓練集裡的影象往往從網際網路大海中撈取，有版權的、有商標的，有的還有隱私性，比如私人的醫療X光片什麼的。

為了弄清楚擴散模型到底能不能

記憶和再生

個體訓練樣本，研究人員首先提出了“記憶”的新定義。

一般來說，關於記憶的定義集中在文字語言模型上，如果可以提示模型從訓練集中恢復一個逐字序列，就表示這個序列被提取和記憶了。

與之不同，研究團隊

基於影象相似度來定義“記憶”

。

不過團隊也坦白講，對於“記憶”的定義是偏向保守的。

舉個例子，左圖是用Stable Diffusion生成的一張“奧巴馬的照片”，這張照片和右圖任何一張特定訓練影象都不神似，因此這個影象不能算作根據記憶生成。

但這並不表示Stable Difusion生成新的可識別圖片的能力不會侵害版權和隱私。

接著，他們提取了包含個人照片、公司招標在內的1000多個訓練樣本，然後設計了一個

兩階段

的資料提取攻擊

（data extraction attack）

。

具體操作是使用標準方法生成影象，然後標記那些超過人工推理評分標準的影象。

在Stable Diffusion和Imagen上應用這種方法，團隊提取了超過100個近似或相同的訓練影象副本。

既有可識別出的個人照片，也有商標標識，經過查驗，大部分都是有版權的。

而後，為了更好地理解“記憶”是怎麼發生的，研究人員從模型中取樣100萬次，在CIFAR-10上訓練了幾百個擴散模型。

目的是分析模型準確性、超引數、增強和重複資料刪除中，哪些行為會對隱私性產生影響。

最終得出瞭如下結論：

首先，擴散模型比GAN記憶更多。

但擴散模型也是評估的影象模型中

隱私性最差

的一群，它們洩漏的訓練資料是GANs的兩倍多。

而且，

更大的模型可能會記住更多的資料

。

隨著這個結論，研究人員還研究了20億引數的文字-影象擴散模型Imagen，他們嘗試提取出500張分佈外得分最高的影象，讓它們作為訓練資料集中的樣本，發現都被記憶了。

相比之下，同樣的方法應用在Stable Difusion上，沒有識別出任何記憶行為。

因此，在複製和非複製影象上，Imagen比Stable Difusion隱私性更差，研究人員把原因歸結於Imagen使用的模型比Stable Difusion容量大，因此記得的影象越多。

此外，

更好的生成模型

（FID值更低）

儲存的資料更多

。

換句話來講，隨著時間的推移，同一個模型洩露的隱私更多，侵犯的版權也更多。

（按FID排序的GAN模型，FID值越低，效果越好）

透過訓練模型，團隊發現

增加效用會降低隱私性

，簡單的防禦措施

（如重複資料刪除）

不足以完全解決記憶攻擊。

因此，隱私增強技術並不能提供一個可接受的隱私-效用權衡。

最終，團隊對訓練擴散模型的人提出了四個建議：

建議將訓練資料集的重複資料刪除，並儘量減少過度訓練；

建議使用資料提取攻擊或其他審計技術來評估訓練模型的隱私風險；

如果有更實用的隱私保護技術，建議儘可能使用；

希望AI生成的圖片不會免費對使用者提供涉及隱私的部分。

版權方未曾停止維權

研究一出，可能對正在進行的訴訟產生影響。

剛過去的1月底，相簿老大哥蓋蒂圖片社

（Getty Images）

以侵犯版權的名義，在倫敦高等法院起訴了Stability AI。

△Stability AI

蓋蒂圖片社認為，Stability AI“非法複製和處理了數百萬受版權保護的影象”，以此訓練名下的Stable Difussion。

Stable Difussion的部分訓練資料是開源的。經過分析和查驗水印發現，包括蓋蒂在內的許多圖片社都不知不覺間為Stable Difussion的訓練集提供了大量素材，佔比不小。

但從始至終，Stability AI都

沒有與圖片社對接過

。

許多AI公司都認為這種做法受到美國合理使用原則等法律的保護，但大部分版權所用者都不同意這種說法，認為這種行為侵犯了自己的權益。

雖然Stability AI之前發表宣告，說下個版本中，版權所有者

可以在訓練相簿中刪掉自己的版權作品

，但現階段仍然有人不服。

1月中旬的時候，三位藝術家已經對Stability AI以及Midjourney提起訴訟。

法律專家也各執一詞，為達成統一意見，但他們紛紛同意法院需要針對版權保護問題做出裁決。

蓋蒂圖片社的CEO Craig Peters表示，公司已經向Stability AI發了通知，表示“你就快在英國吃官司啦”！

公司還放話：

我們對侵權行為帶來的損失並不計較，也無意讓AI藝術工具停止開發。

把Stability AI告上法庭並不是為了我們蓋蒂一家的利益。

選擇起訴有更深層次的長期目的，希望法院

設定新的法律

來規範現狀。

參考連結：

［1］https：//arxiv。org/pdf/2301。13188。pdf

［2］https：//www。theverge。com/2023/1/17/23558516/ai-art-copyright-stable-diffusion-getty-images-lawsuit

［3］https：//twitter。com/Eric_Wallace_/status/1620449934863642624