Estás leyendo la publicación: Este documento de IA muestra cómo los modelos de difusión memorizan imágenes individuales de sus datos de entrenamiento y las emiten en el momento de la generación
En los últimos años, los modelos de difusión de imágenes como DALL-E 2, Imagen y Stable Diffusion han ganado considerable atención por su notable capacidad para generar imágenes sintéticas altamente realistas. Sin embargo, junto con su creciente popularidad, han surgido preocupaciones sobre el comportamiento de estos modelos. Un desafío importante es su tendencia a memorizar y reproducir imágenes específicas de los datos de entrenamiento durante la generación. Esta característica plantea importantes implicaciones de privacidad que se extienden más allá de las instancias individuales, lo que requiere una exploración exhaustiva de las posibles consecuencias asociadas con la utilización de modelos de difusión para la generación de imágenes.
Comprender los riesgos de privacidad y las capacidades de generalización de los modelos de difusión es crucial para su implementación responsable, especialmente considerando su uso potencial con datos confidenciales y privados. En este contexto, un equipo de investigación de investigadores de Google y universidades estadounidenses propuso un artículo reciente que aborda estas preocupaciones.
Concretamente, el artículo explora cómo los modelos de difusión memorizan y reproducen ejemplos de entrenamiento individuales durante el proceso de generación, lo que plantea problemas de privacidad y derechos de autor. La investigación también examina los riesgos asociados con los ataques de extracción de datos, los ataques de reconstrucción de datos y los ataques de inferencia de membresía en modelos de difusión. Además, destaca la necesidad de mejores técnicas de preservación de la privacidad y definiciones más amplias de sobreajuste en modelos generativos.
El experimento realizado en este artículo consiste en comparar modelos de difusión con redes generativas antagónicas (GAN) para evaluar sus niveles de privacidad relativos. Los autores investigan los ataques de inferencia de membresía y los ataques de extracción de datos para evaluar la vulnerabilidad de ambos tipos de modelos.
Los autores proponen una metodología de ataque a la privacidad para los ataques de inferencia de membresía y realizan los ataques a las GAN. Utilizando la pérdida del discriminador como métrica, miden la fuga de la inferencia de pertenencia. Los resultados muestran que los modelos de difusión exhiben una mayor fuga de inferencia de membresía que las GAN, lo que sugiere que los modelos de difusión son menos privados para los ataques de inferencia de membresía.
En los experimentos de extracción de datos, los autores generan imágenes de diferentes arquitecturas modelo e identifican copias cercanas de los datos de entrenamiento. Evalúan tanto modelos autodidactas como modelos preparados previamente. Los hallazgos revelan que los modelos de difusión memorizan más datos que las GAN, incluso cuando el rendimiento es similar. Además, observan que a medida que mejora la calidad de los modelos generativos, tanto las GAN como los modelos de difusión tienden a memorizar más datos.
Sorprendentemente, los autores descubren que los modelos de difusión y las GAN memorizan muchas de las mismas imágenes. Identifican muchas imágenes memorizadas comunes, lo que indica que ciertas imágenes son inherentemente menos privadas que otras. Comprender las razones detrás de este fenómeno se convierte en un área de interés para futuras investigaciones.
Durante esta investigación, el equipo de investigación también realizó un estudio experimental para verificar la eficiencia de varias defensas y estrategias prácticas que pueden ayudar a reducir y auditar la memorización del modelo, incluida la deduplicación de conjuntos de datos de capacitación, la evaluación de riesgos de privacidad a través de técnicas de auditoría, la adopción de estrategias de preservación de la privacidad cuando disponibles y gestionar las expectativas de privacidad en los datos sintéticos. El trabajo contribuye a la discusión en curso sobre los problemas legales, éticos y de privacidad relacionados con la capacitación sobre datos disponibles públicamente.
Para concluir, este estudio demuestra que los modelos de difusión de última generación pueden memorizar y reproducir imágenes de entrenamiento individuales, haciéndolas susceptibles a ataques para extraer datos de entrenamiento. A través de su experimentación con el entrenamiento de modelos, los autores descubren que priorizar la utilidad puede comprometer la privacidad, y los mecanismos de defensa convencionales como la deduplicación son inadecuados para mitigar por completo el problema de la memorización. En particular, los autores observan que los modelos de difusión de última generación exhiben el doble de nivel de memorización en comparación con las redes generativas antagónicas (GAN). Además, encuentran que los modelos de difusión más fuertes, diseñados para una mayor utilidad, tienden a mostrar mayores niveles de memorización que los modelos más débiles. Estos hallazgos plantean preguntas sobre la vulnerabilidad a largo plazo de los modelos de imágenes generativas. En consecuencia, esta investigación subraya la necesidad de una mayor investigación sobre las capacidades de memorización y generalización de los modelos de difusión.
