PersGuardはモデルバックドアを使用して悪意のあるAIパーソナライゼーションを防止

研究者らは、AI画像生成器の悪用に対する新たな防御策として、拡散モデルに直接保護用バックドアを埋め込み、許可されていない肖像画の生成やアーティストスタイルの複製を防ぐ手法を提案した。

PersGuardと題されarXivに掲載されたこの論文は、テキストから画像への(T2I)拡散モデルの悪意あるパーソナライゼーションを防ぐための、初のバックドアベースのフレームワークを紹介している。既存の防御策は主に、ファインチューニングに使用される前に参照画像に敵対的摂動を加えることに依存しており、これはすべての学習画像が事前に摂動されていると仮定し、データセットにクリーンな画像が含まれるか、軽微な変換が行われると失敗する。

PersGuardは根本的に異なるアプローチを取る:入力画像を摂動する代わりに、リリース前にモデル自体に保護用バックドアを埋め込む。下流のユーザーが保護された画像でモデルをファインチューニングすると、バックドアはアクティブのままで、モデルは事前定義された保護出力(実質的に使用不可能な画像)を生成する。モデルが保護されていない正当な画像でファインチューニングされた場合、バックドアはトレーニング中に自動的に除去され、モデルは通常のユーティリティを維持する。

このフレームワークは、バックドア注入を3つの目的を持つ統合最適化問題として定式化する:保護を活性化するバックドア動作損失、クリーンな入力に対する標準生成を維持する事前保存損失、そして下流のファインチューニングでもバックドアが生存することを保証するためにパーソナライゼーション損失を反映する新規な保持損失である。

研究者らは、PersGuardをグレーボックスシナリオ(攻撃者が防御の存在を知っているがバックドアの詳細は知らない)とブラックボックスシナリオ(防御の知識がない)の両方、さらにマルチオブジェクト保護(複数の被写体のパーソナライゼーション防止)と顔識別保護でテストした。この手法は、特にデータセットにクリーンな画像が含まれている場合において、敵対的摂動手法よりも優れたロバスト性を示した。

この論文はXinwei Liu、Xiaojun Jia、Yuan Xun、Hua Zhang、Xiaochun Caoによって執筆され、2025年2月に最初に提出された後、2026年7月15日に改訂された。

このアプローチは、T2Iモデルがより強力でアクセスしやすくなるにつれて高まる懸念に対処するものである。Midjourney、DALL-E、Stable Diffusionのようなオープンウェイトモデルなどのサービスにより、特定の人物の肖像や特定のアーティストのスタイルで画像を生成することが非常に容易になり、既存の法的枠組みが対処に苦慮している緊急のプライバシーと著作権の問題を引き起こしている。

ソース: arXiv

雅子 訳

Scroll to Top