タイトル:再生成攻撃に強い!オートレグレッシブ画像生成モデル向けの新しい透かし技術「Lexical Bias Watermarking」
近年、テキストから画像を生成するAI技術の進化が目覚ましく、中でもオートレグレッシブ(Autoregressive, 略してAR)型の画像生成モデルは、非常に高い品質の画像を出力できることで注目を集めています。しかし、その一方で、生成画像の悪用や責任の追跡ができないといったリスクも生じています。これに対応するために「ウォーターマーキング(透かし)」技術が注目されており、生成された画像がAIによるものであることを後から識別できるようにする手法が研究されています。
ただし、これまでの透かし技術の多くは「ディフュージョンモデル(拡散モデル)」向けに設計されており、ARモデルには適用が難しいという問題があります。さらに深刻なのが「再生成攻撃(regeneration attack)」と呼ばれる方法です。これは、画像を一度AIに入力して再生成するだけで、透かしを綺麗に消せてしまうという脅威です。従来の拡散モデルに埋め込まれた透かしは、生成中の中間状態に隠されているため、このような攻撃に弱い構造でした。
そこで、今回の論文「Autoregressive Images Watermarking through Lexical Biasing」では、ARモデルに特化した新しい透かし技術「Lexical Bias Watermarking(LBW)」が提案されています。
■ Lexical Bias Watermarking(LBW)とは?
LBWは、AR型画像生成モデルが画像をピクセル単位またはトークン単位で順番に生成していくという特性を利用し、透かしを生成の過程で直接埋め込む革新的な技術です。具体的には、モデルがトークンを選ぶ際に「グリーンリスト」と呼ばれるあらかじめ定義された候補群の中からトークンを選びやすくする「バイアス(偏り)」を与えます。
このバイアスにより、透かし情報を画像生成の流れの中で自然に反映させることができ、画像の見た目に影響をほとんど与えずに透かしを仕込めるのが特徴です。
また、セキュリティを強化するために、すべての画像に同じグリーンリストを使うのではなく、画像ごとに候補を「ランダムに抽出」したリストを使うという仕組みも採用されています。これにより、透かしのパターンが単純化されず、ホワイトボックス攻撃(モデルの内部構造を知られた状態での攻撃)への耐性も高まります。
■ 見つけ方も工夫されている
LBWによる透かし検出も技術的に洗練されています。トークンの分布を分析し、特定のグリーンリストがどの程度多く使われているかを評価することで画像に透かしが埋め込まれているかを判定します。これは量子化処理と統計的分析により行われ、高い検出精度を実現しています。
■ 実験も豊富、再生成攻撃に断然強い
論文では、ARモデルとして主にマスキング付きトランスフォーマー(masked transformer)をベースとしたモデル上で実験が行われています。その結果、LBWは従来の透かし手法と比べて格段に強い耐性を持っていることが示されました。特に、他の手法では透かしが消えてしまうような再生成攻撃に対しても、LBWは透かしが残存する高い頑健性を示しています。
技術的に興味深い点は、透かしの情報が「目には見えないが統計的には存在」する形で埋め込まれていることです。これにより、画像の品質を損なうことなく、安全性や透明性を高められます。つまり「見た目は普通の画像」でも、その生成過程にはしっかりとAI由来の情報が隠されている、いわば「AIの指紋」が残されているのです。
■ まとめ:次世代の画像生成AIには欠かせない技術に
生成AIの発展に伴って、フェイク画像やディープフェイクといった問題が深刻化する中、誰がどのように生成したかを証明できる技術の重要性が増しています。今回提案されたLBWは、特にARモデルという最先端の領域において、こうした課題に真正面から取り組んだ非常に意義のある研究だといえます。
今後LBWのような透かし技術が普及すれば、AI画像であることのトレーサビリティ(追跡可能性)が高まり、生成AI技術がより安心して社会に使われる礎となるでしょう。技術の進化と共に、倫理と安全性を両立させていくための第一歩として、非常に注目すべき研究です。
