Marcado de Agua en la Generación Autoregresiva de Imágenes
Watermarking Autoregressive Image Generation
June 19, 2025
Autores: Nikola Jovanović, Ismail Labiad, Tomáš Souček, Martin Vechev, Pierre Fernandez
cs.AI
Resumen
La inserción de marcas de agua en las salidas de modelos generativos ha surgido como un enfoque prometedor para rastrear su procedencia. A pesar del interés significativo en los modelos de generación de imágenes autoregresivos y su potencial para el uso indebido, ningún trabajo previo ha intentado marcar sus salidas a nivel de tokens. En este trabajo, presentamos el primer enfoque de este tipo al adaptar técnicas de marcas de agua para modelos de lenguaje a este contexto. Identificamos un desafío clave: la falta de consistencia inversa del ciclo (RCC, por sus siglas en inglés), en la que la retokenización de los tokens de imágenes generadas altera significativamente la secuencia de tokens, borrando efectivamente la marca de agua. Para abordar este problema y hacer que nuestro método sea robusto frente a transformaciones comunes de imágenes, compresión neuronal y ataques de eliminación, introducimos (i) un procedimiento personalizado de ajuste fino de tokenizador-detokenizador que mejora la RCC, y (ii) una capa complementaria de sincronización de marcas de agua. Como demuestran nuestros experimentos, nuestro enfoque permite una detección confiable y robusta de marcas de agua con valores p teóricamente fundamentados.
English
Watermarking the outputs of generative models has emerged as a promising
approach for tracking their provenance. Despite significant interest in
autoregressive image generation models and their potential for misuse, no prior
work has attempted to watermark their outputs at the token level. In this work,
we present the first such approach by adapting language model watermarking
techniques to this setting. We identify a key challenge: the lack of reverse
cycle-consistency (RCC), wherein re-tokenizing generated image tokens
significantly alters the token sequence, effectively erasing the watermark. To
address this and to make our method robust to common image transformations,
neural compression, and removal attacks, we introduce (i) a custom
tokenizer-detokenizer finetuning procedure that improves RCC, and (ii) a
complementary watermark synchronization layer. As our experiments demonstrate,
our approach enables reliable and robust watermark detection with theoretically
grounded p-values.