DPAC: Distribution-Preserving Adversarial Control for Diffusion Sampling

Dit paper introduceert DPAC, een methode voor diffusie-sampling die de adversariele gradiënten projecteert op de raakruimte van de generatieve score om zo de distributie te behouden en de kwaliteit van de gegenereerde beelden te maximaliseren zonder de aanvalsprestaties te verstoren.

De kern

Stel je voor dat je een kunstenaar bent die een schilderij maakt, stap voor stap, door eerst een luidruchtig, wazig beeld van ruis te nemen en dit langzaam te "ontstoorden" tot een helder, realistisch plaatje. Dit is hoe moderne AI-modellen (zoals Diffusion-modellen) werken. Ze zijn fantastisch in het maken van prachtige beelden.

Maar wat gebeurt er als je deze kunstenaar probeert te dwingen om iets heel specifieks te maken, bijvoorbeeld een foto van een "kat" die eruitziet als een "hond" voor een beveiligingscamera? Dit noemen we een adversariaal voorbeeld.

Het probleem met de oude methoden was als volgt:
Stel je voor dat je de kunstenaar schreeuwend instrueert: "Teken een hond, maar vergeet de kat niet!" Hoe harder je schreeuwt (hoe sterker de instructie), hoe meer de kunstenaar in paniek raakt. Hij begint te tekenen, maar omdat hij zo hard wordt geduwd, verliest hij de controle over de details. Het resultaat is een vreselijke, onherkenbare vlek van verf. De "hond" is misschien wel herkenbaar voor de beveiligingscamera (het doel is bereikt), maar het is geen echte hond meer; het is een monster. De kwaliteit van het beeld stort in.

De auteurs van dit paper, DPAC, hebben een oplossing bedacht die dit probleem oplost. Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het Probleem: De "Normale" Duw

Wanneer de AI probeert het beeld te veranderen, duwt hij in twee richtingen:

• De "Tangentiële" duw: Dit is een duw langs de rand van de berg. Je blijft op het pad lopen, maar je verandert je positie. Het beeld blijft realistisch, maar verandert van vorm (bijv. van kat naar hond).
• De "Normale" duw: Dit is een duw recht de berg af. Je valt van het pad af. Je komt terecht in een gebied waar geen echte beelden bestaan. Dit zorgt voor die vreselijke, onherkenbare vlekken en artefacten.

Oude methoden (zoals AdvDiff) gebruikten beide duwen tegelijk. Ze duwden zo hard dat ze de kunstenaar van het pad duwden. Het resultaat? Een hoge kans dat de beveiliging wordt bedrogen, maar een vreselijk beeld.

2. De Oplossing: DPAC (De "Scheermes"-Techniek)

DPAC is een slimme nieuwe regel voor de kunstenaar. Het idee is simpel: Scheer de "gevaarlijke" duw eraf.

• De Metaphorische Scheermes: DPAC neemt de instructie van de kunstenaar (de graad van verandering) en gebruikt een wiskundig "scheermes" om precies die component weg te halen die recht het pad af duwt (de "normale" component).
• Alleen het pad: Wat overblijft, is alleen de duw die langs het pad gaat. Je verandert het onderwerp van het schilderij (van kat naar hond), maar je blijft binnen de wereld van realistische beelden. Je valt niet van de berg af.

3. Waarom is dit zo goed?

Stel je voor dat je een auto bestuurt op een smalle bergweg.

• Oude methode: Je draait het stuur zo hard dat de auto over de rand vliegt. Je komt wel aan bij je bestemming (de beveiliging is bedrogen), maar je auto is een wrak.
• DPAC: Je draait het stuur precies genoeg om de bocht te nemen, maar je houdt de wielen stevig op de weg. Je komt aan bij je bestemming, en je auto is nog heel.

De resultaten in het papier:

• Stabiliteit: Waar de oude methode bij hoge intensiteit het beeld volledig liet instorten (een FID-score van 69, wat erg slecht is), bleef DPAC stabiel (een score van 44, veel beter).
• Efficiëntie: DPAC heeft minder "kracht" nodig om hetzelfde doel te bereiken. Het is alsof je met een lichte tik op het stuur dezelfde bocht neemt, terwijl de oude methode het stuur moest kapotdraaien.
• Kwaliteit: De beelden die DPAC maakt, zien er nog steeds uit als echte foto's, zelfs als ze perfect zijn bedacht om een classifier te misleiden.

Samenvatting in één zin

DPAC is een slimme techniek die AI-toestellen leert om hun instructies te volgen zonder uit de "wereld van realistische beelden" te vallen, waardoor ze zowel effectief als veilig (voor de kwaliteit van het beeld) blijven.

Het is alsof je een danser leert om een moeilijke beweging te maken zonder zijn evenwicht te verliezen en op de grond te vallen. De dans is nog steeds indrukwekkend, maar nu ook perfect uitgevoerd.

Technische samenvatting

Probleemstelling

Diffusiemodellen (zoals DDPM en DDIM) zijn momenteel de staat van de kunst voor generatieve modellering. Ze kunnen worden gestuurd via "guidance" (geleiding) om specifieke klassen of prompts te genereren, wat ook wordt gebruikt voor het genereren van onbeperkte adversariële voorbeelden (UAE's).

Echter, bestaande methoden die op gradiënten gebaseerde guidance gebruiken (zoals AdvDiff) lijden aan een fundamenteel probleem:

• Kwaliteitsverval: Naarmate de "guidance strength" (sterkte van de sturing) wordt verhoogd om de Attack Success Rate (ASR) te maximaliseren, stort de kwaliteit van de gegenereerde afbeeldingen catastrofisch in.
• De Oorzaak: De auteurs diagnosticeren dat dit komt door een "normale" component (parallel aan de score-functie) in de adversariële gradiënt. Hoewel deze component effectief is voor het misleiden van de classifier, duwt hij de steekproeftrajectorie agressief weg van het data-manifold. Dit veroorzaakt een enorme afwijking in de verdeling (distributional drift), wat resulteert in afbeeldingen met hoge FID-waarden (Fréchet Inception Distance) en artefacten.

Methodologie: DPAC

De auteurs introduceren DPAC (Distribution-Preserving Adversarial Control), een nieuw raamwerk dat gebaseerd is op stochastische optimale controle (SOC) en geometrische projectie.

1. Theoretische Basis:

• Path-KL Divergentie: De auteurs formaliseren de kwaliteitsverval als een Kullback-Leibler-divergentie (path-KL) tussen het gecontroleerde en het nominale (ongestuurde) diffusieproces. Volgens het stelling van Girsanov is deze path-KL exact gelijk aan de controle-energie.
• Verband met Kwaliteit: Ze bewijzen theoretisch dat het minimaliseren van deze path-KL de bovengrens verlaagt voor zowel de 2-Wasserstein-afstand als de FID. Dit creëert een fundamenteel verband tussen de energie van de adversariële controle en de perceptuele trouw.
• Tangentiële vs. Normale Componenten: Elke controle-vector $u_t$ kan worden ontbonden in:
  • Een normale component (parallel aan de score $s_\theta$): Verandert de dichtheid en duwt het traject weg van het data-manifold (veroorzaakt kwaliteitsverval).
  • Een tangentiële component (orthogonaal op de score): Beweegt het steekproeftraject langs de iso-dichtheidsoppervlakken, waardoor de verdeling behouden blijft terwijl het doel (classificatie) nog steeds wordt bereikt.

2. Het DPAC-algoritme:
In plaats van de ruwe gradiënt te gebruiken, projecteert DPAC de adversariële gradiënt op de tangentiële ruimte gedefinieerd door de generatieve score-geometrie.

• Projectie: De methode verwijdert de component van de gradiënt die parallel loopt aan de score-functie ($s_\theta$). Dit wordt gedaan via een gewogen inproduct-projectie:
  $$u_t^{proj} = w_t - \frac{\langle w_t, s_t \rangle_{G_t}}{\langle s_t, s_t \rangle_{G_t}} s_t$$
  Waarbij $w_t$ de gradiënt is en $G_t$ een metriek (bijv. identiteit of noise-scaled).
• Implementatie (Denoise-then-Perturb): Omdat directe injectie van drift in discrete solvers numeriek instabiel kan zijn, gebruikt DPAC een "Denoise-then-Perturb" strategie. Eerst wordt een standaard denoising-stap uitgevoerd, waarna de geprojecteerde, genormaliseerde richting wordt toegevoegd.
• Normalisatie: Om numerieke explosies te voorkomen, wordt de richting genormaliseerd en wordt de stapgrootte volledig bepaald door een schedule $\eta_k$, losgekoppeld van de magnitude van de oorspronkelijke gradiënt.

Belangrijkste Bijdragen

1. Theoretische Diagnose: Het identificeren en formaliseren dat de "normale" component van de guidance-gradiënt de oorzaak is van de catastrofale kwaliteitsverval bij adversariële aanval.
2. Stochastische Optimaliteit: Het bewijzen dat het minimaliseren van path-KL (energie) leidt tot een optimale balans tussen aanvalssucces en beeldkwaliteit, en dat de tangentiële projectie de eerste-orde optimale oplossing is voor dit probleem.
3. Discrete Robuustheid: Het tonen aan dat in discrete solvers (zoals DDIM) het verwijderen van de score-parallelle component de leidende $O(\Delta t)$ foutterm in de Wasserstein-afstand elimineert, wat resulteert in een $O(\Delta t^2)$ foutmarge.
4. DPAC Framework: Een praktische, efficiënte implementatie die de ASR-FID trade-off aanzienlijk verbetert zonder extra trainingskosten.

Resultaten

De experimenten zijn uitgevoerd op ImageNet-100 met een pre-getraind Latent Diffusion Model (LDM) en een ResNet-50 classifier.

• Stabiliteit: Bij hoge guidance-strengths (waarbij AdvDiff faalt) blijft DPAC stabiel.
  • AdvDiff: Kwaliteit stort in van FID 39.9 naar 69.37 bij hoge sterkte.
  • DPAC: Blijft stabiel met een FID van 44.89 onder dezelfde omstandigheden.
• Efficiëntie en Kwaliteit: DPAC bereikt een betere piek-kwaliteit met minder energie.
  • DPAC bereikt een FID van 33.90 (beter dan AdvDiff's optimum van 34.66).
  • Dit wordt bereikt met slechts één derde van de energie (guidance strength) die AdvDiff nodig heeft voor zijn beste resultaat.
• Energiebesparing: DPAC gebruikt consistent ongeveer 66% minder energie (gemeten via Cumulative Perturbation Energy) over alle schalen heen, wat de theoretische voorspelling bevestigt dat het verwijderen van de schadelijke component de benodigde controle-energie verlaagt.
• Ablatie: Het kiezen van een eenvoudige Euclidische metriek ($G_t = I$) versus een noise-geschaalde metriek levert bijna identieke resultaten op, wat aangeeft dat de methode robuust is en eenvoudig te implementeren is.

Significantie

Dit paper biedt een fundamentele oplossing voor het langdurige probleem van kwaliteitsverval bij het sturen van diffusiemodellen voor adversariële doeleinden.

• Het verlegt de focus van "meer kracht" naar "slimmere richting": door alleen de tangentiële component te gebruiken, wordt de aanval effectief gehouden zonder de verdeling te verstoren.
• Het biedt een theoretisch onderbouwde link tussen controle-energie en perceptuele kwaliteit (FID), wat nieuwe inzichten biedt voor het ontwerpen van robuuste generatieve modellen.
• De methode is plug-and-play toepasbaar op bestaande diffusie-samplers en vereist geen hertraining van het model, wat het direct bruikbaar maakt voor zowel veiligheidsresearch (het genereren van betere adversariële voorbeelden) als voor het verbeteren van gecontroleerde generatie in het algemeen.