Marcatura Autoregressiva delle Immagini tramite Distorsione Lessicale: Un Approccio Resistente agli Attacchi di Rigenerazione
Autoregressive Images Watermarking through Lexical Biasing: An Approach Resistant to Regeneration Attack
June 1, 2025
Autori: Siqi Hui, Yiren Song, Sanping Zhou, Ye Deng, Wenli Huang, Jinjun Wang
cs.AI
Abstract
I modelli di generazione di immagini autoregressivi (AR) hanno attirato un'attenzione crescente per i loro progressi nella qualità della sintesi, evidenziando la necessità di tecniche di watermarking robuste per prevenire un uso improprio. Tuttavia, le tecniche di watermarking durante la generazione esistenti sono principalmente progettate per i modelli di diffusione, dove i watermark sono incorporati negli stati latenti del processo di diffusione. Questo design presenta sfide significative per un adattamento diretto ai modelli AR, che generano immagini in modo sequenziale attraverso la previsione di token. Inoltre, gli attacchi di rigenerazione basati sulla diffusione possono cancellare efficacemente tali watermark perturbando gli stati latenti del processo di diffusione. Per affrontare queste sfide, proponiamo il Lexical Bias Watermarking (LBW), un nuovo framework progettato per i modelli AR che resiste agli attacchi di rigenerazione. LBW incorpora i watermark direttamente nelle mappe di token, favorendo la selezione di token da una lista verde predefinita durante la generazione. Questo approccio garantisce un'integrazione senza soluzione di continuità con i modelli AR esistenti e si estende naturalmente al watermarking post-hoc. Per aumentare la sicurezza contro attacchi in white-box, invece di utilizzare una singola lista verde, la lista verde per ciascuna immagine viene campionata casualmente da un pool di liste verdi. Il rilevamento del watermark viene eseguito attraverso la quantizzazione e l'analisi statistica della distribuzione dei token. Esperimenti estensivi dimostrano che LBW raggiunge una robustezza superiore del watermark, in particolare nel resistere agli attacchi di rigenerazione.
English
Autoregressive (AR) image generation models have gained increasing attention
for their breakthroughs in synthesis quality, highlighting the need for robust
watermarking to prevent misuse. However, existing in-generation watermarking
techniques are primarily designed for diffusion models, where watermarks are
embedded within diffusion latent states. This design poses significant
challenges for direct adaptation to AR models, which generate images
sequentially through token prediction. Moreover, diffusion-based regeneration
attacks can effectively erase such watermarks by perturbing diffusion latent
states. To address these challenges, we propose Lexical Bias Watermarking
(LBW), a novel framework designed for AR models that resists regeneration
attacks. LBW embeds watermarks directly into token maps by biasing token
selection toward a predefined green list during generation. This approach
ensures seamless integration with existing AR models and extends naturally to
post-hoc watermarking. To increase the security against white-box attacks,
instead of using a single green list, the green list for each image is randomly
sampled from a pool of green lists. Watermark detection is performed via
quantization and statistical analysis of the token distribution. Extensive
experiments demonstrate that LBW achieves superior watermark robustness,
particularly in resisting regeneration attacks.