[論文レビュー] Prompt Stealing Attacks Against Text-to-Image Generation Models
本論文は PromptStealer を提案する。テキストから画像へのモデルに対する学習ベースのプロンプト窃取攻撃で、Lexica-Dataset を用いて評価。セマンティック・修飾子・画像類似性の面でベースラインを上回り、速度も速い。防御手段として PromptShield を提案する。
Text-to-Image generation models have revolutionized the artwork design process and enabled anyone to create high-quality images by entering text descriptions called prompts. Creating a high-quality prompt that consists of a subject and several modifiers can be time-consuming and costly. In consequence, a trend of trading high-quality prompts on specialized marketplaces has emerged. In this paper, we perform the first study on understanding the threat of a novel attack, namely prompt stealing attack, which aims to steal prompts from generated images by text-to-image generation models. Successful prompt stealing attacks directly violate the intellectual property of prompt engineers and jeopardize the business model of prompt marketplaces. We first perform a systematic analysis on a dataset collected by ourselves and show that a successful prompt stealing attack should consider a prompt's subject as well as its modifiers. Based on this observation, we propose a simple yet effective prompt stealing attack, PromptStealer. It consists of two modules: a subject generator trained to infer the subject and a modifier detector for identifying the modifiers within the generated image. Experimental results demonstrate that PromptStealer is superior over three baseline methods, both quantitatively and qualitatively. We also make some initial attempts to defend PromptStealer. In general, our study uncovers a new attack vector within the ecosystem established by the popular text-to-image generation models. We hope our results can contribute to understanding and mitigating this emerging threat.
研究の動機と目的
- テキストから生成された画像のプロンプト(主題 + 修飾子)を窃取できることを示す。
- プロンプト構成を分析し、主題と修飾子の影響を評価するため Lexica-Dataset を作成する。
- PromptStealer を開発し、画像キャプション生成と多ラベル分類を組み合わせてプロンプトを回収する。
- PromptStealer をセマンティクス、修飾子、画像類似性、効率の観点でベースラインと比較評価する。
- 初期防御(PromptShield)を提案し、その限界を議論する。
提案手法
- Lexica から 250,000 ペアのプロンプト-画像を収集し、重複を除去して 61,467 ペアにする。
- 主題と修飾子が生成画像に影響を与えることを示すためプロンプト構造を分析し、修飾子をカテゴリに分類する。
- PromptStealer を BLIP ベースの画像キャプション生成で主題を取得し、ML-Decoder ベースの多ラベル分類器で修飾子を予測する二系統組み合わせを開発。主題と修飾子を連結して窃取プロンプトとする。
- セマンティック類似性、修飾子類似性、画像類似性、効率性の指標を用いて、二つのベースライン(画像キャプションのみ、CLIP Interrogator)と比較評価する。
- PromptStealer が効率的であること(1 プロンプトあたり約 0.01 秒)と、セマンティック類似性 0.66、修飾子類似性 0.43、画像類似性 0.79 のような高い性能を示し、ベースラインと比較してより良い結果を得ること、転移性とアブレーションを検討する。
![Figure 1 : An image generated by Stable Diffusion [ 40 ] . The corresponding prompt is “cozy enchanted treehouse in ancient forest, diffuse lighting, fantasy, intricate, elegant, highly detailed, lifelike, photorealistic, digital painting, artstation, illustration, concept art, smooth, sharp focus,](https://ar5iv.labs.arxiv.org/html/2302.09923/assets/x1.png)
実験結果
リサーチクエスチョン
- RQ1敵対者は生成画像からターゲットプロンプトを窃取し、主題と修飾子の両方を捕捉できるか?
- RQ2主題と修飾子が生成画像の品質と攻撃の有効性にどう寄与するか?
- RQ3学習ベースの手法は、既存ツール(キャプション生成、CLIP Interrogator)と比べて精度と速度でどうか?
- RQ4窃取を緩和しつつ正当な利用への影響を最小化する防御手段は何か?
- RQ5窃取されたプロンプトは類似画像や類似プロンプト間でどれだけ転移可能か?
主な発見
| Method | Time (s) |
|---|---|
| Image Captioning | 0.01 |
| CLIP Interrogator | 7.89 |
| PromptStealer | 0.01 |
- PromptStealer は、セマンティック類似性 0.66、修飾子類似性 0.43、画像類似性 0.79 で、二つのベースラインを上回る(セマンティック類似性 0.66 vs 0.52、修飾子類似性 0.43 vs 0.01、画像類似性 0.79 vs 0.77)。
- 画像キャプション生成のみのベースラインはセマンティック類似性が低く(0.19)、修飾子を生成できないため、修飾子を回収する必要性を示す。
- PromptStealer は非常に効率的で、NVIDIA DGX-A100 サーバー上で約 0.01 秒/プロンプト、CLIP Interrogator は 7.89 秒である。
- 主題抽出に BLIP、修飾子予測に ML-Decoder を用い、主題と修飾子を同時推論できる。
- PromptStealer は転移性を示し、主題を置換しても類似画像を生成できるため、クロスプロンプト適用性が高い。
- 初期防御(PromptShield)は敵対的摂動を用いて窃取を緩和できるが、強力な防御前提に依存し、適応攻撃には脆弱である。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。