Marcação d'água na Geração Autoregressiva de Imagens
Watermarking Autoregressive Image Generation
June 19, 2025
Autores: Nikola Jovanović, Ismail Labiad, Tomáš Souček, Martin Vechev, Pierre Fernandez
cs.AI
Resumo
A marcação d'água (watermarking) das saídas de modelos generativos surgiu como uma abordagem promissora para rastrear sua proveniência. Apesar do interesse significativo em modelos de geração de imagens autoregressivos e seu potencial para uso indevido, nenhum trabalho anterior tentou marcar suas saídas no nível de tokens. Neste trabalho, apresentamos a primeira abordagem desse tipo, adaptando técnicas de marcação d'água de modelos de linguagem para esse cenário. Identificamos um desafio crucial: a falta de consistência de ciclo reverso (reverse cycle-consistency - RCC), na qual a retokenização de tokens de imagem gerados altera significativamente a sequência de tokens, efetivamente apagando a marca d'água. Para resolver isso e tornar nosso método robusto a transformações comuns de imagens, compressão neural e ataques de remoção, introduzimos (i) um procedimento personalizado de ajuste fino de tokenizador-detokenizador que melhora a RCC, e (ii) uma camada complementar de sincronização de marca d'água. Como nossos experimentos demonstram, nossa abordagem permite a detecção confiável e robusta de marcas d'água com valores-p teoricamente fundamentados.
English
Watermarking the outputs of generative models has emerged as a promising
approach for tracking their provenance. Despite significant interest in
autoregressive image generation models and their potential for misuse, no prior
work has attempted to watermark their outputs at the token level. In this work,
we present the first such approach by adapting language model watermarking
techniques to this setting. We identify a key challenge: the lack of reverse
cycle-consistency (RCC), wherein re-tokenizing generated image tokens
significantly alters the token sequence, effectively erasing the watermark. To
address this and to make our method robust to common image transformations,
neural compression, and removal attacks, we introduce (i) a custom
tokenizer-detokenizer finetuning procedure that improves RCC, and (ii) a
complementary watermark synchronization layer. As our experiments demonstrate,
our approach enables reliable and robust watermark detection with theoretically
grounded p-values.