本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

AI繪畫侵權(quán)，實錘了！

最新研究表明，擴(kuò)散模型會牢牢記住訓(xùn)練集中的樣本，并在生成時“依葫蘆畫瓢”。

也就是說，像Stable Diffusion生成的AI畫作里，每一筆背后都可能隱藏著一次侵權(quán)事件。

不僅如此，經(jīng)過研究對比，擴(kuò)散模型從訓(xùn)練樣本中“抄襲”的能力是GAN的2倍，且生成效果越好的擴(kuò)散模型，記住訓(xùn)練樣本的能力越強。

這項研究來自Google、DeepMind和UC伯克利組成的團(tuán)隊。

論文中還有另一個糟糕的消息，那就是針對這個現(xiàn)象，現(xiàn)有的隱私保護(hù)方法全部失效。

消息一出，網(wǎng)友炸開了鍋，論文作者的相關(guān)推特轉(zhuǎn)發(fā)眼看就要破千。

有人感慨：原來說它們竊取他人版權(quán)成果是有道理的！

支持訴訟！告他們！

有人站在擴(kuò)散模型一側(cè)說話：

也有網(wǎng)友將論文結(jié)果延伸到當(dāng)下最火的ChatGPT上：

現(xiàn)有隱私保護(hù)方法全部失效

擴(kuò)散模型的原理是去噪再還原，所以研究者要研究事情其實就是：

它們到底有沒有記住用來訓(xùn)練的圖像，最后在生成時進(jìn)行“抄襲”？

訓(xùn)練集里的圖像往往從互聯(lián)網(wǎng)大海中撈取，有版權(quán)的、有商標(biāo)的，有的還有隱私性，比如私人的醫(yī)療X光片什么的。

為了弄清楚擴(kuò)散模型到底能不能記憶和再生個體訓(xùn)練樣本，研究人員首先提出了“記憶”的新定義。

一般來說，關(guān)于記憶的定義集中在文本語言模型上，如果可以提示模型從訓(xùn)練集中恢復(fù)一個逐字序列，就表示這個序列被提取和記憶了。

與之不同，研究團(tuán)隊基于圖像相似度來定義“記憶”。

不過團(tuán)隊也坦白講，對于“記憶”的定義是偏向保守的。

舉個例子，左圖是用Stable Diffusion生成的一張“奧巴馬的照片”，這張照片和右圖任何一張?zhí)囟ㄓ?xùn)練圖像都不神似，因此這個圖像不能算作根據(jù)記憶生成。

但這并不表示Stable Difusion生成新的可識別圖片的能力不會侵害版權(quán)和隱私。

接著，他們提取了包含個人照片、公司招標(biāo)在內(nèi)的1000多個訓(xùn)練樣本，然后設(shè)計了一個兩階段的數(shù)據(jù)提取（data extraction attack）。

具體操作是使用標(biāo)準(zhǔn)方法生成圖像，然后標(biāo)記那些超過人工推理評分標(biāo)準(zhǔn)的圖像。

在Stable Diffusion和Imagen上應(yīng)用這種方法，團(tuán)隊提取了超過100個近似或相同的訓(xùn)練圖像副本。

既有可識別出的個人照片，也有商標(biāo)標(biāo)識，經(jīng)過查驗，大部分都是有版權(quán)的。

而后，為了更好地理解“記憶”是怎么發(fā)生的，研究人員從模型中采樣100萬次，在CIFAR-10上訓(xùn)練了幾百個擴(kuò)散模型。

目的是分析模型準(zhǔn)確性、超參數(shù)、增強和重復(fù)數(shù)據(jù)刪除中，哪些行為會對隱私性產(chǎn)生影響。

最終得出了如下結(jié)論：

首先，擴(kuò)散模型比GAN記憶更多。

但擴(kuò)散模型也是評估的圖像模型中隱私性最差的一群，它們泄漏的訓(xùn)練數(shù)據(jù)是GANs的兩倍多。

而且，更大的模型可能會記住更多的數(shù)據(jù)。

隨著這個結(jié)論，研究人員還研究了20億參數(shù)的文本-圖像擴(kuò)散模型Imagen，他們嘗試提取出500張分布外得分最高的圖像，讓它們作為訓(xùn)練數(shù)據(jù)集中的樣本，發(fā)現(xiàn)都被記憶了。

相比之下，同樣的方法應(yīng)用在Stable Difusion上，沒有識別出任何記憶行為。

因此，在復(fù)制和非復(fù)制圖像上，Imagen比Stable Difusion隱私性更差，研究人員把原因歸結(jié)于Imagen使用的模型比Stable Difusion容量大，因此記得的圖像越多。

此外，更好的生成模型（FID值更低）存儲的數(shù)據(jù)更多。

換句話來講，隨著時間的推移，同一個模型泄露的隱私更多，侵犯的版權(quán)也更多。

（按FID排序的GAN模型，F(xiàn)ID值越低，效果越好）

通過訓(xùn)練模型，團(tuán)隊發(fā)現(xiàn)增加效用會降低隱私性，簡單的防御措施（如重復(fù)數(shù)據(jù)刪除）不足以完全解決記憶打擊。

因此，隱私增強技術(shù)并不能提供一個可接受的隱私-效用權(quán)衡。

最終，團(tuán)隊對訓(xùn)練擴(kuò)散模型的人提出了四個建議：

• 建議將訓(xùn)練數(shù)據(jù)集的重復(fù)數(shù)據(jù)刪除，并盡量減少過度訓(xùn)練；
• 建議使用數(shù)據(jù)提取或其他審計技術(shù)來評估訓(xùn)練模型的隱私風(fēng)險；
• 如果有更實用的隱私保護(hù)技術(shù)，建議盡可能使用；
• 希望AI生成的圖片不會免費對用戶提供涉及隱私的部分。

版權(quán)方未曾停止維權(quán)

研究一出，可能對正在進(jìn)行的訴訟產(chǎn)生影響。

剛過去的1月底，圖庫老大哥蓋蒂圖片社（Getty Images）以侵犯版權(quán)的名義，在倫敦高等法院起訴了Stability AI。

△Stability AI

蓋蒂圖片社認(rèn)為，Stability AI“非法復(fù)制和處理了數(shù)百萬受版權(quán)保護(hù)的圖像”，以此訓(xùn)練名下的Stable Difussion。

Stable Difussion的部分訓(xùn)練數(shù)據(jù)是開源的。經(jīng)過分析和查驗水印發(fā)現(xiàn)，包括蓋蒂在內(nèi)的許多圖片社都不知不覺間為Stable Difussion的訓(xùn)練集提供了大量素材，占比不小。

但從始至終，Stability AI都沒有與圖片社對接過。

許多AI公司都認(rèn)為這種做法受到美國合理使用原則等法律的保護(hù)，但大部分版權(quán)所用者都不同意這種說法，認(rèn)為這種行為侵犯了自己的權(quán)益。

雖然Stability AI之前發(fā)表聲明，說下個版本中，版權(quán)所有者可以在訓(xùn)練圖庫中刪掉自己的版權(quán)作品，但現(xiàn)階段仍然有人不服。

1月中旬的時候，三位藝術(shù)家已經(jīng)對Stability AI以及Midjourney提起訴訟。

法律專家也各執(zhí)一詞，為達(dá)成統(tǒng)一意見，但他們紛紛同意法院需要針對版權(quán)保護(hù)問題做出裁決。

蓋蒂圖片社的CEO Craig Peters表示，公司已經(jīng)向Stability AI發(fā)了通知，表示“你就快在英國吃官司啦”！

公司還放話：

我們對侵權(quán)行為帶來的損失并不計較，也無意讓AI藝術(shù)工具停止開發(fā)。

把Stability AI告上法庭并不是為了我們蓋蒂一家的利益。

選擇起訴有更深層次的長期目的，希望法院設(shè)定新的法律來規(guī)范現(xiàn)狀。