图像生成模型的不可检测水印——Undetectable Watermark for Generative Image Models
一篇将加密与水印结合的论文,作者来自安全大牛宋晓东团队,核心思想是将潜变量的符号位用加密后的符号位替换。
原本的潜变量服从标准正态分布,其符号位是对称的,作者设计的加密方法能够将水印同样加密成对称分布的-1与+1,正好替换原来的符号位后仍能保持潜变量分布,还是很巧妙的。
作者的Introduction写的也很好,好的论文其Introduction不仅是话题引入,更是为文章核心服务铺垫。其实读了这篇论文会发现这个水印方法其鲁棒性与Treering、高斯shading相比并不高,但是其优点就是生成质量高,能不掉FID,所以作者就在Introduction部分为核心观点做铺垫——生成式水印中要先关注生成质量,然后再讨论鲁棒性。
下面就是文章的核心算法,比较复杂,加密算法也是作者以前的论文。
之后是实验结果,作者的攻击实验做得比较全面,但是对于几何攻击一个没做,也确实不能抵抗
如对这篇文章的细节或复现也感兴趣,欢迎与我讨论~