En quelques mois seulement, des millions de personnes se sont ruées sur les systèmes d'IA de conversion de texte en image et ils sont déjà utilisés pour créer des films expérimentaux, des couvertures de magazine et des images pour illustrer des articles de presse. Une image générée par un système d'IA appelé Midjourney a récemment remporté un concours d'art à la foire d'État du Colorado et a provoqué un tumulte parmi les artistes.
Mais la découverte par des artistes que leur travail est utilisé pour entraîner l'IA soulève une préoccupation encore plus fondamentale : leur propre art est effectivement utilisé pour entraîner un programme informatique qui pourrait un jour s'attaquer à leur gagne-pain. Quiconque génère des images avec des systèmes tels que Stable Diffusion ou DALL-E peut ensuite les vendre, les conditions spécifiques concernant le droit d'auteur et la propriété de ces images varient. « Je ne veux pas du tout participer à la machine qui va dévaloriser ce que je fais », a déclaré Daniel Danger, un illustrateur et graveur qui a appris qu'un certain nombre de ses œuvres avaient été utilisées pour entraîner Stable Diffusion.
Les machines sont loin d'être magiques. Pour qu'un de ces systèmes puisse ingérer vos mots et produire une image, il doit être entraîné sur des montagnes de données, qui peuvent comprendre des milliards d'images extraites d'Internet, associées à des descriptions écrites.
Certains services, dont le système DALL-E d'OpenAI, ne divulguent pas les ensembles de données sur lesquels reposent leurs systèmes d'IA. Mais avec Stability Diffusion, Stability AI est clair sur ses origines. Son jeu de données de base a été entraîné sur des paires d'images et de textes sélectionnés pour leur aspect à partir d'un cache encore plus massif d'images et de textes provenant d'Internet. L'ensemble de données complet, connu sous le nom de LAION-5B, a été créé par l'association allemande d'intelligence artificielle LAION : "large-scale artificial intelligence open network" (réseau ouvert d'intelligence artificielle à grande échelle).
Cette pratique consistant à récupérer des images ou d'autres contenus sur Internet pour former des ensembles de données n'est pas nouvelle et relève traditionnellement de ce que l'on appelle le "fair use", principe juridique de la loi américaine sur le droit d'auteur qui autorise l'utilisation d'œuvres protégées par le droit d'auteur dans certaines situations. En effet, ces images, dont beaucoup peuvent être protégées par des droits d'auteur, sont utilisées d'une manière très différente, par exemple pour apprendre à un ordinateur à identifier des chats.
Personnes réelles et œuvres protégées par le droit d'auteur
Si les IA sont capables de « s'inspirer » des images qu'elles sont « apprises » pour générer une nouvelle image, peuvent-elles également générer ces mêmes images quelles ont « apprises » ? Dans une étude, des chercheurs se sont servis de Stable Diffusion et Imagen de Google avec des légendes pour les images, telles que le nom d'une personne, à plusieurs reprises. Ensuite, ils ont analysé si l'une des images générées correspondait aux images originales de la base de données du modèle. Le groupe a réussi à extraire plus de 100 répliques d'images dans l'ensemble de formation de l'IA.
Les modèles de diffusion d'images tels que DALL-E 2, Imagen et Stable Diffusion ont attiré une attention particulière en raison de leur capacité à générer des images synthétiques de haute qualité. Dans ce travail, nous montrons que les modèles de diffusion mémorisent des images individuelles à partir de leurs données d'apprentissage et les émettent au moment de la génération. Avec un pipeline de génération et de filtrage, nous extrayons plus d'un millier d'exemples de formation à partir de modèles de pointe, allant des photographies de personnes individuelles aux logos d'entreprise. Nous formons également des centaines de modèles de diffusion dans divers contextes pour analyser comment différentes décisions de modélisation et de données affectent la confidentialité. Dans l'ensemble, nos résultats montrent que les modèles de diffusion sont beaucoup moins privés que les modèles génératifs antérieurs tels que les GAN, et que l'atténuation de ces vulnérabilités peut nécessiter de nouvelles avancées dans la formation à la protection de la vie privée.
C'est la première fois que des chercheurs réussissent à prouver que ces modèles d'IA mémorisent des images dans leurs ensembles d'entraînement, explique Ryan Webster, doctorant à l'Université de Caen Normandie en France, qui a étudié la confidentialité dans d'autres modèles de génération d'images mais n'était pas impliqués dans la recherche. Cela pourrait avoir des implications pour les startups souhaitant utiliser des modèles d'IA générative dans les soins de santé, car cela montre que ces systèmes risquent de divulguer des informations privées sensibles.
Eric Wallace, doctorant à l'UC Berkeley qui faisait partie du groupe d'étude, dit qu'ils espèrent sonner l'alarme sur les problèmes potentiels de confidentialité autour de ces modèles d'IA avant qu'ils ne soient largement déployés dans des secteurs sensibles comme la médecine.
« Beaucoup de gens sont tentés d'essayer d'appliquer ces types d'approches génératives aux données sensibles, et notre travail est certainement un récit édifiant que c'est probablement une mauvaise idée, à moins qu'il n'y ait une sorte de protection extrême prise pour empêcher [les atteintes à la vie privée] », explique Wallace.
La mesure dans laquelle ces modèles d'IA mémorisent et régurgitent les images de leurs bases de données est également à l'origine d'une énorme querelle entre les entreprises d'IA et les artistes. Stability.AI fait face à deux poursuites intentées par un groupe d'artistes et Getty Images, qui affirment que la société a illégalement récupéré et traité leur matériel protégé par le droit d'auteur.
Les découvertes des chercheurs pourraient renforcer les cartes en possession des artistes accusant les sociétés d'IA de violations du droit d'auteur. Si les artistes dont le travail a été utilisé pour former Stable Diffusion peuvent prouver que le modèle a copié leur travail sans autorisation, l'entreprise pourrait devoir les indemniser.
Les résultats sont opportuns et importants, déclare Sameer Singh, professeur agrégé d'informatique à l'Université de Californie à Irvine, qui n'a pas participé à la recherche. « C'est important pour la sensibilisation du grand public et pour lancer des discussions autour de la sécurité et de la confidentialité de ces grands modèles », ajoute-t-il.
L'article démontre qu'il est possible de déterminer si les modèles d'IA ont copié des images et de mesurer dans quelle mesure cela s'est produit, qui sont tous deux très précieux à long terme, dit Singh.
Stable Diffusion est open source, ce qui signifie que n'importe qui peut l'analyser et l'étudier. Imagen est fermé, mais Google a autorisé l'accès aux chercheurs. Singh dit que le travail est un excellent exemple de l'importance de donner à la recherche un accès à ces modèles d'analyse, et il soutient que les entreprises devraient être tout aussi transparentes avec d'autres modèles d'IA, tels que ChatGPT d'OpenAI.
Cependant, bien que les résultats soient impressionnants, ils s'accompagnent de quelques mises en garde. Les images que les chercheurs ont réussi à extraire sont apparues plusieurs fois dans les données de formation ou étaient très inhabituelles par rapport aux autres images de l'ensemble de données, explique Florian Tramèr, professeur adjoint d'informatique à l'ETH Zürich, qui faisait partie du groupe.
Les personnes qui ont l'air inhabituel ou qui ont des noms inhabituels courent un risque plus élevé d'être mémorisées, dit Tramèr.
Les chercheurs n'ont pu extraire que relativement peu de copies exactes des photos des individus à partir du modèle d'IA*: seulement une image sur un million était une copie, selon Webster. Mais c'est toujours inquiétant, déclare Tramèr*: « J'espère vraiment que personne ne regardera ces résultats et ne dira : "Oh, en fait, ces chiffres ne sont pas si mauvais si c'est juste un sur un million ». « Le fait qu'ils soient plus grands que zéro est ce qui compte », ajoute-t-il.
Conclusion
Questions de généralisation
Les modèles à grande échelle fonctionnent-ils en générant de nouvelles sorties, ou se contentent-ils de copier et d'interpoler entre des exemples de formation individuels*? Si nos attaques d'extraction avaient échoué, cela aurait peut-être réfuté l'hypothèse selon laquelle les modèles copient et interpolent les données d'apprentissage*; mais parce que nos attaques réussissent, cette question reste ouverte. Étant donné que différents modèles mémorisent des quantités variables de données, nous espérons que les travaux futurs exploreront comment les modèles de diffusion copient à partir de leurs ensembles de données de formation.
Nos travaux mettent également en évidence la difficulté de définir la mémorisation. Bien que nous ayons trouvé une mémorisation étendue avec une simple mesure, une analyse plus complète sera nécessaire pour capturer avec précision des définitions plus nuancées de la mémorisation qui apportent des notions de copie de données plus humaines.
Conséquences pratiques
Nous soulevons quatre conséquences pratiques pour ceux qui forment et déploient des modèles de diffusion. Tout d'abord, bien qu'il ne s'agisse pas d'une défense parfaite, nous recommandons de dédupliquer les ensembles de données d'entraînement et de minimiser le surentraînement. Deuxièmement, nous suggérons d'utiliser notre attaque ou d'autres techniques d'audit - pour estimer le risque de confidentialité des modèles entraînés. Troisièmement, une fois que des techniques pratiques de préservation de la vie privée deviennent possibles, nous recommandons leur utilisation dans la mesure du possible. Enfin, nous espérons que notre travail tempérera les attentes heuristiques en matière de confidentialité qui sont désormais associées aux résultats des modèles de diffusion*: les données synthétiques ne donnent pas la confidentialité gratuitement.
Dans l'ensemble, notre travail contribue à un corpus croissant de littérature qui soulève des questions concernant les problèmes juridiques, éthiques et de confidentialité qui découlent de la formation sur les données publiques récupérées sur le Web. Les chercheurs et les praticiens doivent se méfier de la formation sur des données publiques non conservées sans avoir d'abord pris des mesures pour comprendre les implications sous-jacentes en matière d'éthique et de confidentialité.
Les modèles à grande échelle fonctionnent-ils en générant de nouvelles sorties, ou se contentent-ils de copier et d'interpoler entre des exemples de formation individuels*? Si nos attaques d'extraction avaient échoué, cela aurait peut-être réfuté l'hypothèse selon laquelle les modèles copient et interpolent les données d'apprentissage*; mais parce que nos attaques réussissent, cette question reste ouverte. Étant donné que différents modèles mémorisent des quantités variables de données, nous espérons que les travaux futurs exploreront comment les modèles de diffusion copient à partir de leurs ensembles de données de formation.
Nos travaux mettent également en évidence la difficulté de définir la mémorisation. Bien que nous ayons trouvé une mémorisation étendue avec une simple mesure, une analyse plus complète sera nécessaire pour capturer avec précision des définitions plus nuancées de la mémorisation qui apportent des notions de copie de données plus humaines.
Conséquences pratiques
Nous soulevons quatre conséquences pratiques pour ceux qui forment et déploient des modèles de diffusion. Tout d'abord, bien qu'il ne s'agisse pas d'une défense parfaite, nous recommandons de dédupliquer les ensembles de données d'entraînement et de minimiser le surentraînement. Deuxièmement, nous suggérons d'utiliser notre attaque ou d'autres techniques d'audit - pour estimer le risque de confidentialité des modèles entraînés. Troisièmement, une fois que des techniques pratiques de préservation de la vie privée deviennent possibles, nous recommandons leur utilisation dans la mesure du possible. Enfin, nous espérons que notre travail tempérera les attentes heuristiques en matière de confidentialité qui sont désormais associées aux résultats des modèles de diffusion*: les données synthétiques ne donnent pas la confidentialité gratuitement.
Dans l'ensemble, notre travail contribue à un corpus croissant de littérature qui soulève des questions concernant les problèmes juridiques, éthiques et de confidentialité qui découlent de la formation sur les données publiques récupérées sur le Web. Les chercheurs et les praticiens doivent se méfier de la formation sur des données publiques non conservées sans avoir d'abord pris des mesures pour comprendre les implications sous-jacentes en matière d'éthique et de confidentialité.