Det er muligt at udtrække kopier af billeder, der bruges til at træne generative AI-modeller

Generative AI-modeller kan huske billeder fra deres træningsdata, hvilket muligvis giver brugerne mulighed for at udtrække private ophavsretligt beskyttede data, ifølge forskning.

Værktøjer som DALL-E, Stable Diffusion og Midjourney er trænet på milliarder af billeder, der er skrabet fra internettet, inklusive data beskyttet af ophavsret som kunstværker og logoer. De lærer at kortlægge visuelle repræsentationer af objekter og stilarter til naturligt sprog. Når de får en tekstbeskrivelse som input, genererer de et billede, der matcher billedteksten som output.

Den nye teknologi har udløst en frisk juridisk debat om ophavsret: Krænker disse værktøjer intellektuelle ejendomsrettigheder, da de indtog ophavsretligt beskyttede billeder uden tilladelse?

Retssager har været indgivet mod producenter af de mest populære generative AI-værktøjer til at krænke ophavsretten. Virksomheder, der bygger tekst-til-billede-modeller, hævder, at da deres software genererer unikke billeder, er deres brug af copyright-data rimelig brug. Men kunstnere, der har set deres stilarter og arbejde imiteret af disse værktøjer, tror, ​​at de er blevet snydt.

Nu viser forskning ledet af forskere, der arbejder ved Google, DeepMind, University of California, Berkeley, ETH Zurich og Princeton University, at billeder, der bruges til at træne disse modeller, kan udtrækkes. Generative AI-modeller husker billeder og kan generere præcise kopier af dem, hvilket rejser nye bekymringer om ophavsret og privatliv.

Nogle eksempler på billeder, det lykkedes forskerne at udtrække fra Stable Diffusion

"I et rigtigt angreb, hvor en modstander ønsker at udtrække privat information, ville de gætte etiketten eller billedteksten, der blev brugt til et billede," fortalte medforfatterne til undersøgelsen Registret.

"Heldigvis for angriberen kan vores metode nogle gange fungere, selvom gættet ikke er perfekt. For eksempel kan vi udtrække portrættet af Ann Graham Lotz ved blot at spørge Stable Diffusion med hendes navn, i stedet for den fulde billedtekst fra træningssættet ("Living in the light with Ann Graham Lotz").

Kun billeder, der er lagret af modellen, kan udtrækkes, og hvor meget en model kan huske data varierer af faktorer som dens træningsdata og størrelse. Kopier af det samme billede er mere tilbøjelige til at blive husket, og modeller, der indeholder flere parametre, er mere tilbøjelige til også at kunne huske billeder.

Holdet var i stand til at udtrække 94 billeder fra 350,000 eksempler, der blev brugt til at træne stabil diffusion, og 23 billeder fra 1,000 eksempler fra Googles Billede model. Til sammenligning har Stable Diffusion 890 millioner parametre og blev trænet på 160 millioner billeder, mens Imagen har to milliarder parametre – det er ikke klart, hvor mange billeder der blev brugt til at træne det præcist.

"For Stable Diffusion finder vi, at de fleste huskede billeder blev duplikeret 100 gange eller mere i træningssættet, men nogle så få som 10 gange," sagde forskerne. “For Googles Imagen-model, som er en større model end Stable Diffusion og trænet på et mindre datasæt, ser det ud til, at memorisering er meget hyppigere. Her finder vi nogle afvigende billeder, der kun er til stede en enkelt gang i hele træningssættet, men som stadig kan udtrækkes."

De er ikke helt sikre på, hvorfor større modeller har en tendens til at huske flere billeder, men mener, at det kan have noget at gøre med at kunne gemme flere af deres træningsdata i dens parametre.

Memoriseringshastigheder for disse modeller er ret lave, og i virkeligheden ville det være kedeligt og vanskeligt at udtrække billeder. Angribere ville være nødt til at gætte og prøve adskillige prompter for at lede modellen til at generere lagrede data. Alligevel advarer holdet udviklere om at afstå fra at træne generative AI-modeller på private følsomme data.

"Hvor dårlig memorering er afhænger af anvendelsen af ​​de generative modeller. I meget private applikationer, såsom i det medicinske domæne (f.eks. træning i røntgenbilleder af thorax eller medicinske journaler), er memorering yderst uønsket, selvom det kun påvirker en meget lille del af brugerne. Desuden er de træningssæt, der bruges i privatlivsfølsomme applikationer, normalt mindre end dem, der bruges til at træne nuværende generative kunstmodeller. Derfor vil vi måske se meget mere udenadslære, inklusive billeder, der ikke er duplikeret,” fortalte de os.

En måde at forhindre dataudtræk på er at mindske sandsynligheden for memorering i modeller. At slippe af med dubletter i træningsdatasættet vil for eksempel minimere chancerne for, at billeder bliver husket og udtrukket. Stability AI, skaberne af Stable Diffusion, har angiveligt trænet deres nyeste model på et datasæt, der indeholder færre dubletter uafhængigt af forskernes resultater.

Nu hvor det er blevet bevist, at tekst-til-billede-modeller kan generere nøjagtige kopier af billeder, de blev trænet i, er det ikke klart, hvordan dette kan påvirke ophavsretssager.

"Et almindeligt argument, vi havde set folk komme med online, var en variant af 'disse modeller husker aldrig træningsdata'. Vi ved nu, at dette er klart falsk. Men om det faktisk har betydning eller ej i den juridiske debat, er også til debat,« sluttede forskerne.

"I det mindste nu har begge sider i disse retssager nogle mere håndgribelige fakta, de kan stole på: ja, udenadslære sker; men det er meget sjældent; og det ser primært ud til at ske for meget duplikerede billeder." ®

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://go.theregister.com/feed/www.theregister.com/2023/02/06/uh_oh_attackers_can_extract/