ICLR 2022 Spotlight | 生成模型可扩展的人工指纹：深伪溯源应被模型开发者责任公开

高质量的生成模型有时是把双刃剑，层出不穷的深伪(deepfake)图像恶意使用，不断挑战人们的视觉认知。为此，Salesforce科学家、马里兰大学与马克斯普朗克研究所博士毕业生于宁等人从深伪训练源头出发，呼吁深伪开发者责任公开，在训练生成模型的同时，对模型参数嵌入人工指纹，同时配合训练指纹检测模型。由此深伪溯源大大简化为指纹检测和匹配任务，对生成模型完成从开发到检测的责任闭环，实现负责任的管理与部署，因此不惧生成技术未来的未知发展，致力于开创一个全新的、持久有效的、独立于深伪军备竞赛的防伪技术。

本文方案与作者早期另一套方案(Artificial GAN Fingerprints[1])相比，最重大的改进在于，指纹的嵌入直接针对生成器参数而非训练集，避免了每更换一次指纹代码就不得不重新训练生成模型，从而实现一次性的生成模型训练，就可海量得到 个嵌有不同指纹的生成器，实现指纹嵌入的可扩展性和高效性。

针对以上宗旨，本文提出三大贡献。

1. 我们一改之前人工指纹方案Artificial GAN Fingerprints[1] 每更换一次指纹代码就不得不重新训练生成模型的弊端，从而实现一次性的生成模型训练，就可海量得到 个嵌有不同指纹的生成器，实现指纹嵌入的可扩展性和高效性。

2. 对于每个用户对生成器的下载需求，我们将不同的人工指纹嵌入生成器参数中，联合训练指纹检测模型，通过验证指纹从生成模型到生成图像的传递性，从而将深伪溯源大大简化为指纹检测和匹配任务，完成对生成模型负责任的管理与部署。

3. 实验上，我们验证了包括上述可扩展性在内的人工指纹的诸多优良性质：高保真(嵌入指纹的同时不影响原本生成质量)、隐蔽性(指纹的存在不容易被察觉)、鲁棒性(对多种图像扰动鲁棒)等。

宏观上，我们站在负责任的生成模型开发者的角度布局，详见图1。当开发者训练一种生成技术的同时，我们配备其一种指纹嵌入与检测模型一同训练。当一次性训练完成后，对于海量用户下载需求，开发者随机分配一个指纹代码给一个用户，并将指纹嵌入模型参数，供该用户下载。现实中当一次深伪滥用发生后，开发者尝试用指纹检测模型从生成图像中解码指纹，如果指纹和数据库中存在匹配，即能溯源到滥用的始作俑者，因为对于一个较复杂的指纹，偶然的高度匹配概率是非常低的；如果指纹不存在匹配，开发者可以声称该滥用与他无关。如此，开发者可以通过我们的人工指纹方案轻松完成责任公开和对模型的负责任的管理与部署，不必顾虑来自社会对模型负作用的压力。

图1 从生成模型开发者角度，可扩展的人工指纹宏观框架。

技术上，方案训练框架如图2左。编码器 将随机采样的128位二进制指纹代码 映射到特征空间，并用该特征向量调制生成器 的每一层卷积层。具体的调制技术和StyleGAN2[2]异曲同工，见图2右：对于卷积核的每一个信道所有空间窗口的元素，我们乘上指纹特征向量对应的元素值。与此同时，我们用原始的方法训练生成对抗：对于随机采样的隐空间代码 ，我们输入到调制后的生成器，希望生成的图像足够逼真足够接近真实训练图像，故此我们对抗训练判别器 得到对抗损失函数 。除了生成图像的真实性，我们还要保证嵌入指纹的可检测性，故此我们另联合训练一个指纹检测器 ，用来重建被调制进生成器中的指纹代码( ) 和隐空间代码 ( )。最后，我们不希望嵌入不同的指纹对生成的效果有影响，故此引入一个一致性损失函数，要求对于相同的隐空间代码和不同的指纹代码，生成的图片要足够相似。

图2 左：模型联合训练指纹编码器E，图像生成器G，图像判别器D和指纹检测器F。右：指纹特征向量对生成器卷积层的调制。

我们在CelebA人脸图像、LSUN卧室图像和LSUN猫的图像进行了系统实验验证。对于指纹的检测有效性，我们用比特级别的检测精度度量；对于指纹的高保真，我们用含有指纹的生成图像计算Frechet Inception Distance (FID)，数值越低越好，并与不含指纹的StyleGAN2[2]生成图像的FID进行对比。结果见表1。

我们发现，基于传统训练图像水印的方法outguess和steghide，无法完成指纹的有效嵌入和检测。我们这次的方法(Ours)能取得和我们先前方法[1]相似甚至略微提高的指纹检测精度。对比StyleGAN2行和Ours行的FID列,我们发现，指纹的存在最多仅造成2.93的FID退化(数值上升)，结合图3样本难以察觉的指纹痕迹，人工指纹的高保真也得到验证。

更重要的是，由于我们一次性训练就能完成海量嵌入指纹的本质，我们对生成器嵌入指纹只需5秒钟，而我们先前的方法[1]不得不需要3-5天重新为训练数据嵌入新指纹再重新训练生成器，这其中就有5万倍的效率提升。

表1 在各种数据集上，比特级别检测精度度量人工指纹的嵌入检测有效性，有无指纹的生成图像的FID对比体现高保真。

图3反映了我们生成的定性效果，每一列对应一个随机的隐空间代码，每一行对应一个随机的指纹代码。首先我们发现所有生成图像的质量都很高，并没有肉眼可见的瑕疵或指纹的痕迹。其次由于一致性损失函数 的功效，隐空间代码可以独立于指纹代码完全控制图像前景部分的内容，保证了生成器原本的功效和不同指纹调制下生成器功能的一致性，如此一来极大避免了使用者对于指纹存在与否的疑心。进一步观察下来，不同指纹的线索全部集中于不同的背景风格，这既不影响原本的图像功能，同时提供有效线索给我们的指纹检测器做深伪溯源。

图3 生成图像的定性高质量展示。每一列对应一个随机的隐空间代码，每一行对应一个随机的指纹代码。

人工指纹的隐蔽性是另一项重要需求，只有指纹的存在不容易被甄别才有可能避免被恶意第三方清除。事实上，我们的优势之一正是在于隐蔽性，因为我们并不直接对生成图像嵌入指纹，而是间接对生成器参数嵌入指纹，这极大阻碍了第三方在只获得生成图片的场景下对潜在指纹的排查。我们具体调用ATS攻击策略[3]排查指纹在生成图像的存在与否，细节参见原文。结论就是，对于1000张含有指纹的生成图像，ATS攻击只识别出了其中的505张含有指纹，这一表现接近于随机猜测，故我们的人工指纹隐蔽性得以被佐证。

人工指纹的鲁棒性同样是一项重要需求，因为用户总会自觉或不自觉地扰动生成图像以达到某些应用目的，然而我们不希望这些扰动过多地影响指纹检测。为此我们测试了指纹的检测精度与各种扰动的强度的关系，包括居中裁剪+尺寸缩放、高斯模糊、JPEG压缩、高斯噪声、和上述综合扰动，见图4红线。我们发现，所有情况下的指纹检测精度都随着扰动强度的增加而退化，但是对于高斯模糊和JPEG压缩，在非极端扰动下精度退化得非常缓慢。当我们考虑75%作为检测精度可接受的底线，我们的检测都有非常宽的有效工作区域，见图4绿箭头指示，这体现了我们的指纹对于高斯模糊和JPEG压缩的鲁棒性。对于另外三种扰动，我们最初的指纹嵌入模型精度退化比较明显，但是我们可以通过训练模型时引入扰动后的增强数据，来恢复指纹检测精度，见图4蓝线所示和红箭头指示的检测精度的提升，这反映出针对扰动的增强数据的有效性，我们称之为人工指纹的可免疫性。

图4 红线所示为我们原始的指纹检测精度与各种扰动的强度的关系，蓝线所示为我们数据增强后的指纹检测精度与各种扰动的强度的关系。

既然人工指纹的各种主要性质都得到验证，我们回到最初的动机，也就是深伪检测(detection)与溯源(attribution)。深伪检测即真假二分类，深伪溯源即尝试对生成图像和已知的生成模型进行对应，如果无法对应即表明该图像来自一个未知模型。表2总结了各种方法在1000张混有真实图像和含指纹的生成图像上的检测精度(模型数量N=1列)溯源精度(N>1列)，图像均匀来自上述三个数据集。结果发现，由于人工指纹将深伪溯源任务大大简化为指纹检测和匹配任务，我们的精度几乎饱和，远胜于两种被动检测基准方法(第一行[4]和第二行[5])，从而揭示了需要开发者配合模型管理、责任公开的重要性。另外，由于我们方法的可扩展性，我们的指纹可适用于模型数量N=100甚至大至 的场景并且精度依然饱和，而表2第三行作者早期另一套方案[1]无法应用于此场景。

表2 深伪检测与溯源精度，统计于1000张真实图像和含指纹的生成图像的混合，均匀来自于CelebA人脸图像、LSUN卧室图像和LSUN猫的图像。

//

 于宁

于宁，Salesforce研究科学家，博士毕业于美国马里兰大学与德国马克斯普朗克研究所联合培养，师从Larry Davis教授和Mario Fritz教授。于宁的研究涉猎计算机视觉和安全，尤其深耕于生成模型的应用与其潜在危害的预防。于宁在计算机视觉和计算机安全顶会发表论文多篇，是Twitch研究奖学金获得者、微软小学者、两次Qualcomm创新奖学金提名、以及SPIE最佳学生论文提名。

详见其个人主页：https://ningyu1991.github.io/

作者：于宁

扫码观看！

本周上新！

关于我“门”

点击右上角，把文章分享到朋友圈

点击“阅读原文”按钮，查看社区原文

⤵一键送你进入TechBeat快乐星球