Meta开源数字水印Stable Signature，极大增强生成式AI安全

全球社交、科技巨头Meta（Facebook、Instagram等母公司）在官网宣布，开源数字水印产品Stable Signature，并公开论文。

据悉，Stable Signature是由Meta和INRIA（法国国家信息与自动化研究所）联合开发而成，可将数字水印直接嵌入到AI自动生成的图片中，防止其非法用途。

而数字水印也是目前增强生成式AI安全的重要手段之一，微软、谷歌等科技巨头已经在产品中使用。

Stable Signature生成的数字水印不受裁剪、压缩、改变颜色等破坏性操作影响，能追溯到图片的初始来源，可应用于扩散、生成对抗网络等模型，例如，著名文生图开源项目Stable Diffusion。

开源地址：https://github.com/facebookresearch/stable_signature

论文地址：https://arxiv.org/abs/2303.15435

Stable Signature技术原理

Stable Signature的技术原理并不复杂，开发人员用Alice训练了一个主生成模型并进行了微调，以确定Bob给定的水印，用于识别AI图片的版本、公司、用户、特征等属性。

Bob用于接收不同的扩散模型版本并生成图片，并携带水印。而这些水印可以由Alice或第三方AI进行分析，以查看图像是否由AI生成。

为了实现上述目标，开发人员使用了两大步骤来完成。

1）训练两个卷积神经网络。一种将图像和随机消息编码为水印图像，另一种则从水印图像的增强版本中提取消息，目的是使编码和提取的消息匹配。训练完成后，只保留水印提取器。

2）对生成模型的潜在解码器进行微调以生成包含固定签名的图像。在此微调过程中，会对批量图像进行编码、解码和优化，以最大限度地减少提取的消息与目标消息之间的差异，并保持感知图像质量。

这种优化过程快速有效，只需要小批量和很短的时间即可获得高质量的结果。

Stable Signature性能评估

在性能评估过程中，开发人员发现Stable Signature不受裁剪、压缩、改变颜色等破坏性操作影响，同时在被动检测方面有两大技术优势。

1）可以控制并减少误报的情况：误报是指我们将人类制作的图片，误认为是AI生成的图片。鉴于在线共享的非AI生成图片的普遍性，这一点至关重要。

例如，最有效的现有检测方法可以发现大约50%的编辑过的生成图片，但仍然产生大约1/100的误报率。

换句话说，在一个每天收到10亿张图片的用户生成内容平台上，为了仅检测到一半的生成图片，大约有1000万张图片会被错误地标记。

而Stable Signature 可以实现10-10 的误报率（可以设置为特定的期望值），提供高精准图片检测。

2）Stable Signature的水印方法，允许用户追踪同一模型的不同版本的图片，这种能力对于识别AI图片非常重要。

Meta表示，Midjourney、Stable Difusion等文本生成图片生成式AI产品非常火爆，已经被大量用户应用在各种业务场景。但也有很多人将其使用在非法用途，例如，通过Midjourney生成一张名人的合成照片，然后用于新闻造谣。

通过Stable Signature将数字水印嵌入到AI图片中，可极大避免此类事件的发生。

本文素材来源Meta官网，如有侵权请联系删除