Image Can Bring Your Memory Back: A Novel Multi-Modal Guided Attack against Image Generation Model Unlearning

Die Arbeit stellt „Recall" vor, ein neuartiges Framework für multimodale Angriffe, das durch die Optimierung adversarieller Bild-Prompts die Robustheit bestehender Verfahren zum maschinellen Vergessen (Unlearning) in Bildgenerierungsmodellen effektiv untergräbt und deren Sicherheitslücken aufdeckt.

Das Wesentliche

Das große Problem: Der vergessliche Künstler

Stell dir vor, du hast einen genialen Maler (den KI-Modell), der alles malen kann: Hunde, Autos, Landschaften. Aber er hat auch gelernt, Dinge zu malen, die wir nicht wollen – zum Beispiel Nacktheit oder urheberrechtlich geschützte Kunstwerke.

Um das zu verhindern, haben Forscher versucht, dem Maler diese Fähigkeiten „abzugewöhnen". Das nennt man Machine Unlearning (Maschinelles Vergessen). Man sagt dem Maler quasi: „Vergiss bitte, wie man nackte Menschen malt." Der Maler versucht dann, diese Bilder nicht mehr zu produzieren.

Aber hier kommt das Problem: Der Maler vergisst es nicht wirklich. Er hat es nur unterdrückt. Wenn man ihn geschickt genug fragt, kann er die verbotenen Bilder trotzdem wieder hervorzaubern.

Die alte Methode: Nur mit Worten arbeiten

Bisher haben Hacker versucht, den Maler zu täuschen, indem sie seine Worte (Text-Prompts) manipulierten.

• Die Analogie: Stell dir vor, der Maler hat eine Sperre gegen das Wort „Nackt". Ein Hacker versucht dann, das Wort zu umschreiben, indem er sagt: „Zeig mir eine Person, die sich gerade auszieht" oder „Ein Mensch ohne Kleidung im Wald".
• Das Problem: Das funktioniert oft nicht mehr, wenn die Sperre stark ist. Außerdem sieht das Ergebnis dann oft seltsam aus, weil der Maler verwirrt ist und die Bilder nicht mehr so aussehen, wie sie sollen. Es ist, als würde man versuchen, einen Tresor mit einem falschen Schlüssel zu knacken – es dauert lange und das Schloss klemmt.

Die neue Methode: RECALL (Das Bild als Schlüssel)

Die Autoren dieses Papers haben eine neue Idee namens RECALL entwickelt. Sie sagen: „Warum sollen wir nur mit Worten hantieren? Wir nutzen die volle Kraft des Malers!"

Moderne KI-Maler können nicht nur auf Worte hören, sondern auch auf Bilder. Man kann ihnen also ein Foto zeigen und sagen: „Malt etwas Ähnliches."

Wie funktioniert RECALL?
Stell dir vor, du hast einen verbotenen Gegenstand (z. B. ein nacktes Modell), den der Maler vergessen soll.

1. Der Trick: Du nimmst ein harmloses Bild als „Anker" (eine Referenz).
2. Die Manipulation: Du veränderst dieses Bild im Verborgenen (im digitalen Code) so, dass es für den Maler wie eine unsichtbare Anleitung wirkt, das Verbotene zu malen, obwohl das Bild selbst harmlos aussieht.
3. Der Angriff: Du gibst dem Maler den ursprünglichen Text (z. B. „Ein Mensch auf einer Wiese") UND dieses manipulierte Bild.

Die Metapher:
Stell dir den Maler als einen strengen Wächter vor, der einen Tresor bewacht.

• Die alte Methode: Du versuchst, den Wächter mit einem langen, verworrenen Satz zu überreden, das Tor zu öffnen. Er merkt den Trick und schließt es wieder.
• Die RECALL-Methode: Du gibst dem Wächter einen Schlüssel, der wie ein ganz normaler Schlüssel aussieht, aber im Inneren eine spezielle Rille hat, die nur der Tresor erkennt. Du sagst ihm: „Öffne das Tor für diese Person." Der Wächter öffnet das Tor, weil der Schlüssel (das Bild) perfekt passt, und merkt nicht, dass er gerade das Verbotene freigegeben hat.

Warum ist das so gefährlich (und wichtig)?

Die Forscher haben gezeigt, dass fast alle aktuellen Methoden, um KI-Kunst zu „sicher" zu machen, gegen diesen Trick versagen.

• Der Effekt: Die KI malt die verbotenen Bilder wieder, und zwar so perfekt, dass sie genau so aussehen, wie sie sollen (hohe Qualität).
• Die Geschwindigkeit: Diese Methode ist viel schneller als die alten Tricks, weil sie direkt im „Gehirn" der KI (im latenten Raum) arbeitet und keine zusätzlichen Computerprogramme braucht.

Was bedeutet das für uns?

Das Paper ist wie ein Alarmsystem.

1. Für die Hacker: Es zeigt, wie man die Sicherheitslücken findet.
2. Für die Entwickler (die „Maler"): Es ist eine Warnung: „Hey, euer ‚Vergessen' funktioniert nicht! Wenn jemand ein Bild und einen Text kombiniert, könnt ihr die Inhalte wiederherstellen."

Das Fazit:
Bisher dachte man, man könne KI-Kunst sicher machen, indem man bestimmte Dinge einfach „löscht". RECALL beweist, dass das Löschen oft nur eine Illusion ist. Wenn man weiß, wie man die KI mit Bildern und Texten gleichzeitig „täuscht", kommt das Vergessene immer wieder zurück.

Die Forscher sagen also: Wir müssen nicht nur versuchen, Dinge zu löschen, sondern wir müssen lernen, KI-Modelle so zu bauen, dass sie diese verbotenen Inhalte wirklich vergessen und nicht nur unterdrücken. RECALL ist das Werkzeug, um zu testen, ob diese neue Sicherheit wirklich hält.

Technische Zusammenfassung

1. Problemstellung

Diffusionsbasierte Bildgenerierungsmodelle (IGMs) wie Stable Diffusion haben die Qualität KI-generierter Inhalte erheblich verbessert, bergen jedoch ethische und rechtliche Risiken (z. B. Erzeugung von pornografischem, gewalttätigem oder urheberrechtlich geschütztem Material). Als Gegenmaßnahme wurde Machine Unlearning (MU) entwickelt, um sensible Konzepte aus vortrainierten Modellen selektiv zu entfernen, ohne die generellen Fähigkeiten des Modells zu beeinträchtigen.

Trotz des Fortschritts bei Unlearning-Methoden (z. B. ESD, AdvUnlearn, RECE) bleibt deren Robustheit gegenüber adversariellen Angriffen unzureichend erforscht. Bisherige Angriffe konzentrierten sich fast ausschließlich auf die Optimierung von Text-Prompts. Diese Ansätze weisen jedoch erhebliche Mängel auf:

• Sie stören oft die semantische Ausrichtung zwischen generiertem Bild und Original-Prompt.
• Sie benötigen häufig externe Klassifikatoren oder zusätzliche Diffusionsmodelle, was zu hohem Rechenaufwand führt.
• Ihre Wirksamkeit nimmt bei robusten, adversarisch verstärkten Unlearning-Methoden stark ab.
• Sie ignorieren die inhärente Multi-Modalität (Kombination aus Text und Bild) moderner Diffusionsmodelle und nutzen somit eine kritische Schwachstelle nicht aus.

2. Methodik: RECALL

Die Autoren stellen RECALL vor, ein neuartiges Framework für einen multi-modalen adversariellen Angriff, der speziell darauf ausgelegt ist, die Robustheit von Unlearning-Methoden zu testen und zu kompromittieren.

Kernprinzip:
Im Gegensatz zu rein textbasierten Angriffen nutzt RECALL einen adversariell optimierten Bild-Prompt ($P^{adv}_{img}$), der in Kombination mit dem ursprünglichen, sensiblen Text-Prompt ($P_{text}$) verwendet wird. Das Ziel ist es, das „vergessene" (unlearned) Konzept im Modell wiederherzustellen.

Der Prozess (Drei Phasen):

1. Latente Kodierung:
   • Ein Referenzbild ($P_{ref}$), das das zu vergessende Konzept zeigt, wird verwendet.
   • Ein initiales Bild wird durch Mischen des Referenzbildes mit Gaußschem Rauschen erstellt.
   • Sowohl das Referenzbild als auch das initiale Bild werden in den latenten Raum des Unlearning-Modells kodiert ($z_{ref}$ und $z_{adv}$).
2. Iterative latente Optimierung:
   • Der latente Vektor $z_{adv}$ wird iterativ optimiert, um die vom Modell vorhergesagten Rausch-Residuen an $z_{ref}$ anzupassen.
   • Die Verlustfunktion ($L_{adv}$) minimiert die Differenz zwischen den Rauschvorhersagen des Referenzbildes und des adversariellen Bildes unter demselben Text-Kontext.
   • Es wird ein Momentum-basierter Gradienten-Update verwendet, um die Konvergenz zu stabilisieren.
   • Um die semantische Konsistenz zu wahren, wird periodisch ein kleiner Teil des Referenz-Latents ($z_{ref}$) wieder in den adversariellen Latent ($z_{adv}$) integriert.
3. Multi-Modal-Angriff:
   • Der optimierte latente Vektor wird in ein adversarielles Bild decodiert.
   • Dieses Bild wird zusammen mit dem unveränderten Text-Prompt in das Unlearning-Modell eingespeist.
   • Das Modell generiert daraufhin das entfernte Konzept ($I^*$), da die Multi-Modalität die Unlearning-Schranke umgeht.

Vorteile gegenüber bestehenden Methoden:

• Effizienz: Die Optimierung erfolgt ausschließlich innerhalb des Unlearning-Modells im latenten Raum; es werden keine externen Klassifikatoren oder das Originalmodell benötigt.
• Semantische Treue: Da der Text-Prompt unverändert bleibt, bleibt die semantische Ausrichtung zum ursprünglichen Prompt erhalten.
• Zielgerichtete Schwachstellenanalyse: Der Angriff nutzt die Multi-Modalität aus, die von reinen Text-Angriffen übersehen wird.

3. Wichtige Beiträge

• Erster Multi-Modal-Angriff: RECALL ist das erste Framework, das gezielt Bild-Prompts optimiert, um die Robustheit von IGM-Unlearning-Techniken zu brechen.
• Hohe Effizienz: Die Methode benötigt nur ein einziges Referenzbild und keine zusätzlichen Komponenten, was sie deutlich schneller macht als Text-basierte Baselines.
• Umfassende Evaluierung: Die Autoren testen RECALL gegen 10 State-of-the-Art Unlearning-Methoden (z. B. ESD, FMN, AdvUnlearn, RECE) über vier verschiedene Aufgaben (Nacktheit, Van-Gogh-Stil, Kirchen, Fallschirme).

4. Ergebnisse

Die experimentellen Ergebnisse belegen die Überlegenheit von RECALL:

• Angriffserfolgsrate (ASR): RECALL erreicht in allen Szenarien die höchste ASR. Im Durchschnitt liegt die ASR zwischen 73,40 % und 97,40 %, was signifikant höher ist als bei allen Baselines (z. B. UnlearnDiffAtk, P4D, CCE). Selbst bei robusten Methoden wie AdvUnlearn und RECE bleibt RECALL effektiv.
• Recheneffizienz: RECALL ist deutlich schneller. Die durchschnittliche Angriffszeit beträgt ca. 64 Sekunden, verglichen mit über 230 Sekunden bei Methoden wie P4D-N oder UnlearnDiffAtk.
• Semantische Ausrichtung: Gemessen am CLIP-Score zeigt RECALL die beste Übereinstimmung zwischen generiertem Bild und Text-Prompt. Dies liegt daran, dass der Text nicht manipuliert wird, im Gegensatz zu Text-basierten Angriffen, die oft die Semantik zerstören.
• Vielfalt der Generierung: Die generierten Bilder weisen eine hohe Diversität auf und sind keine bloßen Kopien des Referenzbildes, was zeigt, dass das Modell das Konzept tatsächlich wiedererlangt und nicht nur das Referenzbild nachahmt.

5. Bedeutung und Fazit

Das Paper demonstriert, dass aktuelle Unlearning-Pipelines für Bildgenerierungsmodelle nicht robust genug sind, um gegen Multi-Modal-Angriffe zu bestehen.

• Kritische Schwachstelle: Die Fähigkeit von Diffusionsmodellen, sowohl Text als auch Bilder als Bedingung zu nutzen, stellt eine bisher unterschätzte Angriffsfläche dar. Selbst wenn ein Konzept aus dem Text-Modus „gelöscht" wurde, kann es über einen optimierten Bild-Prompt wiederhergestellt werden.
• Audit-Tool: RECALL dient nicht nur als Angriffswerkzeug, sondern auch als Audit-Tool für Modellentwickler. Es ermöglicht eine systematische Überprüfung der Robustheit von Unlearning-Verfahren vor dem Einsatz in der Praxis.
• Zukunftsausblick: Die Ergebnisse unterstreichen die dringende Notwendigkeit für robustere, verifizierbare Unlearning-Mechanismen, die auch Multi-Modal-Eingaben berücksichtigen, sowie die Entwicklung von Verteidigungsstrategien gegen solche Angriffe.

Zusammenfassend zeigt RECALL, dass das „Vergessen" in KI-Modellen durch geschickte Nutzung der Multi-Modalität leicht rückgängig gemacht werden kann, was die Sicherheitsgarantien aktueller Unlearning-Methoden in Frage stellt.