DPAC: Distribution-Preserving Adversarial Control for Diffusion Sampling

O artigo apresenta o DPAC, um método de controle adversarial para amostragem de difusão que preserva a distribuição ao projetar gradientes adversariais no espaço tangente definido pela geometria do escore, minimizando a divergência KL do caminho e melhorando a fidelidade perceptual (FID) sem comprometer a taxa de sucesso do ataque.

O essencial

Imagine que você tem um chef de cozinha (o modelo de IA) que sabe cozinhar pratos incríveis, como um "Galo à Portuguesa" perfeito. Esse chef segue uma receita passo a passo (o processo de difusão), começando com uma panela cheia de ingredientes aleatórios (ruído) e, aos poucos, transformando-os no prato final.

Agora, imagine que você quer enganar um inspetor de qualidade (o classificador) para que ele pense que o prato é "Sushi", mesmo sendo Galo à Portuguesa. Isso é o que chamamos de "ataque adversarial": fazer a IA criar algo que engane o sistema.

O problema é que, até agora, tentar fazer isso era como tentar mudar o prato de "Galo" para "Sushi" jogando tudo o que você tinha na despensa dentro da panela de uma vez só.

O Problema: O "Empurrão" Errado

Antes deste novo método (DPAC), os pesquisadores tentavam guiar o chef usando um "empurrão" direto baseado no que o inspetor achava.

• A analogia: Imagine que você está tentando mudar a direção de um barco. O método antigo (chamado AdvDiff) pegava o leme e o girava com força bruta na direção errada.
• O resultado: O barco virava para o lado certo (o inspetor era enganado), mas a força bruta fazia o barco virar de cabeça para baixo e afundar. O prato saía estragado, com cores bizarras e sem formato nenhum. Era um "Sushi" que parecia uma lama tóxica.
• A causa: O método antigo empurrava o processo na direção que destruía a estrutura do prato (a "densidade" dos dados), em vez de apenas mudar o sabor.

A Solução: O "Guia Tangencial" (DPAC)

Os autores deste paper, da Universidade Yonsei, criaram uma nova regra chamada DPAC. Eles descobriram que, para enganar o inspetor sem estragar o prato, você não deve empurrar o barco para fora da água, mas sim deslizar ao longo da superfície da água.

Aqui está como funciona, com analogias simples:

1. A Superfície da Água (O Manifold de Dados):
   Imagine que todos os pratos deliciosos e realistas existem em uma "superfície" invisível. Se você sair dessa superfície, o prato vira uma sopa de lixo.

   • O método antigo empurrava o prato para cima (saindo da água), o que o estragava.
   • O novo método (DPAC) empurra o prato para os lados, mantendo-o sempre flutuando na superfície da água.

2. O Corte Cirúrgico (Projeção):
   O DPAC olha para a força que o inspetor pede e diz: "Ok, você quer mudar o prato para Sushi. Mas essa força tem uma parte que vai afundar o barco (a parte 'normal'). Vamos cortar essa parte fora!".

   • Eles usam uma "tesoura matemática" para remover apenas a parte do empurrão que destruiria a qualidade da imagem.
   • O que sobra é um empurrão que muda o objetivo (engana o inspetor) mas mantém a estrutura do prato intacta.

3. O Resultado:

   • Sem DPAC: O inspetor é enganado, mas a imagem fica um caos (FID alto = imagem ruim).
   • Com DPAC: O inspetor é enganado com a mesma eficiência, mas a imagem continua linda, nítida e realista. É como se você conseguisse transformar o Galo em Sushi sem que o prato perdesse a forma.

Por que isso é importante?

Pense na energia que você gasta.

• O método antigo precisava de uma força enorme (como um furacão) para mudar o prato, e mesmo assim, estragava tudo.
• O DPAC usa um terço da energia para conseguir o mesmo resultado de engano, mas com uma imagem muito mais bonita.

Resumo em uma frase

O DPAC é como um piloto de corrida que sabe que, para fazer uma curva fechada sem sair da pista (e sem bater no muro), você não deve virar o volante bruscamente para fora, mas sim deslizar o carro com precisão ao longo da pista. Isso permite enganar o sistema de segurança (o classificador) sem destruir o carro (a qualidade da imagem).

Em suma: Eles descobriram como "enganar a IA" sem "quebrar a IA", garantindo que as imagens geradas sejam tanto falsas o suficiente para enganar um detector, quanto reais o suficiente para parecerem fotos verdadeiras.

Resumo técnico

Resumo Técnico: DPAC (Controle Adversarial Preservador de Distribuição para Amostragem Difusiva)

1. O Problema

Os modelos de difusão denoising representam o estado da arte em geração de imagens e permitem o controle da geração através de guidance (direcionamento), seja por prompts ou rótulos de classe. Métodos existentes para gerar Exemplos Adversariais Não Restritos (UAEs) utilizando esses modelos, como o AdvDiff, baseiam-se em injetar gradientes de classificadores adversariais diretamente no processo de amostragem reversa.

No entanto, esses métodos sofrem de uma falha fundamental: existe um trade-off catastrófico entre a taxa de sucesso do ataque (ASR) e a qualidade da imagem (FID).

• À medida que a força do guidance aumenta para maximizar a ASR, a qualidade da imagem colapsa drasticamente (aumento severo do FID e aparecimento de artefatos).
• O artigo identifica que essa instabilidade é causada pela componente "normal" (paralela ao score do modelo) do gradiente de controle. Embora essa componente seja eficaz para enganar o classificador, ela empurra agressivamente a trajetória de amostragem para fora da variedade de dados (data manifold), distorcendo a distribuição de probabilidade e gerando imagens inválidas.

2. Fundamentação Teórica e Metodologia

Os autores formalizam a degradação da qualidade como uma divergência de Kullback-Leibler no espaço de caminhos (path-KL) entre o processo controlado e o processo nominal (não controlado).

A. Conexão entre Energia de Controle e Fidelidade

• Utilizando o Teorema de Girsanov, os autores demonstram que o path-KL é exatamente igual à energia de controle acumulada ($\frac{1}{2}\mathbb{E}\int \|u_t\|^2 dt$).
• Eles estabelecem teoricamente que minimizar essa energia de controle (e, consequentemente, o path-KL) reduz os limites superiores da distância de Wasserstein ($W_2$) e do Fréchet Inception Distance (FID). Isso cria uma ligação principial entre a energia do controle adversarial e a fidelidade perceptual.

B. Decomposição do Controle e Condição de Optimalidade

• O gradiente de controle $u_t$ pode ser decomposto em duas partes relativas à superfície de densidade de dados:
  1. Componente Normal ($u_{\parallel}$): Paralela ao score ($\nabla \log p_t$). Altera a densidade da distribuição, causando o colapso da qualidade.
  2. Componente Tangencial ($u_{\perp}$): Tangente às superfícies de iso-densidade. Mantém a distribuição preservada enquanto ainda pode influenciar a classificação.
• DPAC (Distribution-Preserving Adversarial Control) é derivado como a solução de otimização estocástica que projeta o gradiente adversarial no espaço tangencial, removendo a componente normal.
• Matematicamente, para um ganho de classificação de primeira ordem fixo, a direção que minimiza a energia (e preserva a distribuição) é a projeção ortogonal do gradiente em relação ao score do modelo.

C. Implementação Prática (Algoritmo)
Como a projeção exata no espaço de alta dimensão é intratável, o DPAC utiliza aproximações computacionais eficientes:

1. Projeção de Score: Remove a componente do gradiente adversarial que é paralela ao score do modelo de difusão usando um produto interno ponderado (pode ser Euclidiano ou escalado pelo ruído).
2. Denoise-then-Perturb (PGD-style): Em vez de injetar o controle diretamente no termo de deriva (o que seria instável numericamente em solvers discretos), o método executa um passo de denoising padrão e, em seguida, aplica uma perturbação no espaço da imagem.
3. Normalização: O vetor de direção projetado é normalizado, e o tamanho do passo é controlado exclusivamente por um parâmetro de escala ($\eta_k$), prevenindo explosões numéricas.

3. Resultados Principais

Os experimentos foram conduzidos no conjunto de dados ImageNet-100 utilizando um modelo Latent Diffusion Model (LDM) e um classificador ResNet-50.

• Estabilidade e Colapso de Qualidade:
  • O método baseline (AdvDiff) sofre um colapso catastrófico de qualidade em escalas de guidance altas, com o FID subindo de ~39.9 para 69.37.
  • O DPAC mantém-se estável sob as mesmas condições, mantendo um FID de 44.89 e evitando artefatos catastróficos, preservando a estrutura coerente da imagem.
• Eficiência e Fidelidade de Pico:
  • O DPAC alcança uma fidelidade de pico superior (FID 33.90) comparado ao melhor resultado do baseline (FID 34.66).
  • Crucialmente, o DPAC atinge esse desempenho usando apenas 1/3 da energia (custo de controle) necessária pelo baseline.
• Validação Teórica:
  • Em todas as escalas testadas, o DPAC consome aproximadamente 66% menos energia (medida por Cumulative Perturbation Energy - CPE) que o baseline, validando a teoria de que a remoção da componente normal reduz a energia necessária para atingir o mesmo objetivo adversarial.
• Análise de Ablação:
  • A escolha da métrica para o produto interno (Euclidiana vs. Escalada por Ruído) mostrou impacto negligenciável nos resultados finais, sugerindo que a versão mais simples (Euclidiana) é suficiente.

4. Contribuições Chave

1. Diagnóstico Teórico: Identificação e formalização de que o colapso de qualidade em ataques adversariais via difusão é causado pela componente normal do gradiente que distorce a distribuição de dados, quantificada via path-KL.
2. DPAC (Algoritmo): Proposição de um novo esquema de guidance que projeta os gradientes adversariais no espaço tangencial definido pela geometria do score, preservando a distribuição de dados.
3. Conexão Teórica-Empírica: Estabelecimento de um vínculo rigoroso entre a minimização da energia de controle (via Teorema de Girsanov) e a melhoria de métricas de fidelidade (FID, $W_2$).
4. Robustez em Solvers Discretos: Demonstração de que a projeção tangencial cancela o termo de erro dominante de primeira ordem ($O(\Delta t)$) na distância de Wasserstein, resultando em uma precisão de segunda ordem ($O(\Delta t^2)$) e robustez a erros de aproximação do score.

5. Significado e Impacto

O trabalho oferece uma solução principial para o dilema "eficácia vs. qualidade" na geração de exemplos adversariais com modelos de difusão. Ao demonstrar que é possível manter a eficácia do ataque (alta ASR) sem sacrificar a realismo da imagem (baixo FID), o DPAC:

• Melhora a segurança ao permitir a geração de exemplos adversariais mais realistas para testes de robustez de modelos.
• Oferece um novo paradigma para o controle de modelos generativos, sugerindo que a preservação da distribuição de dados é fundamental para a estabilidade de qualquer processo de guidance intensivo.
• Fornece uma ferramenta teórica (minimização de path-KL) que pode ser aplicada a outros problemas de controle estocástico em aprendizado de máquina generativo.

Em resumo, o DPAC transforma a geração de exemplos adversariais de um processo instável e destrutivo em um procedimento controlado e geometricamente fundamentado, permitindo a criação de ataques "invisíveis" e de alta fidelidade.