Filigranage d'Images Autoregressives par Biais Lexical : Une Approche Résistante aux Attaques de Régénération
Autoregressive Images Watermarking through Lexical Biasing: An Approach Resistant to Regeneration Attack
June 1, 2025
Auteurs: Siqi Hui, Yiren Song, Sanping Zhou, Ye Deng, Wenli Huang, Jinjun Wang
cs.AI
Résumé
Les modèles de génération d'images autoregressifs (AR) ont suscité un intérêt croissant en raison de leurs avancées en matière de qualité de synthèse, soulignant la nécessité d'un tatouage robuste pour prévenir les utilisations abusives. Cependant, les techniques de tatouage existantes pendant la génération sont principalement conçues pour les modèles de diffusion, où les tatouages sont intégrés dans les états latents de diffusion. Cette conception pose des défis importants pour une adaptation directe aux modèles AR, qui génèrent des images de manière séquentielle par prédiction de tokens. De plus, les attaques de régénération basées sur la diffusion peuvent effacer efficacement ces tatouages en perturbant les états latents de diffusion. Pour relever ces défis, nous proposons le Lexical Bias Watermarking (LBW), un cadre novateur conçu pour les modèles AR qui résiste aux attaques de régénération. LBW intègre des tatouages directement dans les cartes de tokens en biaisant la sélection des tokens vers une liste verte prédéfinie pendant la génération. Cette approche assure une intégration transparente avec les modèles AR existants et s'étend naturellement au tatouage post-hoc. Pour augmenter la sécurité contre les attaques en boîte blanche, au lieu d'utiliser une seule liste verte, la liste verte pour chaque image est échantillonnée aléatoirement à partir d'un pool de listes vertes. La détection du tatouage est effectuée via la quantification et l'analyse statistique de la distribution des tokens. Des expériences approfondies démontrent que LBW atteint une robustesse supérieure du tatouage, en particulier en résistant aux attaques de régénération.
English
Autoregressive (AR) image generation models have gained increasing attention
for their breakthroughs in synthesis quality, highlighting the need for robust
watermarking to prevent misuse. However, existing in-generation watermarking
techniques are primarily designed for diffusion models, where watermarks are
embedded within diffusion latent states. This design poses significant
challenges for direct adaptation to AR models, which generate images
sequentially through token prediction. Moreover, diffusion-based regeneration
attacks can effectively erase such watermarks by perturbing diffusion latent
states. To address these challenges, we propose Lexical Bias Watermarking
(LBW), a novel framework designed for AR models that resists regeneration
attacks. LBW embeds watermarks directly into token maps by biasing token
selection toward a predefined green list during generation. This approach
ensures seamless integration with existing AR models and extends naturally to
post-hoc watermarking. To increase the security against white-box attacks,
instead of using a single green list, the green list for each image is randomly
sampled from a pool of green lists. Watermark detection is performed via
quantization and statistical analysis of the token distribution. Extensive
experiments demonstrate that LBW achieves superior watermark robustness,
particularly in resisting regeneration attacks.