Localized Concept Erasure in Text-to-Image Diffusion Models via High-Level Representation Misdirection

本文提出了一种名为 HiRM 的新方法，通过在文本编码器中仅微调包含视觉属性因果状态的早期层，并将目标概念的高层语义表示重定向至特定向量，从而在有效消除有害或受版权保护概念的同时，最大限度地减少对非目标概念生成质量的影响并降低训练成本。

要点

这篇论文介绍了一种名为 HiRM（高层表示误导）的新方法，旨在解决文生图 AI 模型（比如 Midjourney 或 Stable Diffusion）的一个核心痛点：如何精准地“删除”模型中某些我们不希望它生成的概念（比如色情内容、特定艺术家风格或受版权保护的形象），同时又不破坏模型生成其他美好图片的能力。

为了让你更容易理解，我们可以把整个文生图模型想象成一家超级繁忙的“创意餐厅”。

1. 背景：餐厅的烦恼

这家餐厅（AI 模型）非常厉害，能根据顾客（用户）的菜单（文字提示词）做出各种各样的菜（图片）。

• 问题：有时候，顾客会点一些“禁忌菜”，比如“全裸的人体”或者“某位在世艺术家的风格”。餐厅老板（开发者）希望彻底禁止这些菜。
• 旧方法（笨办法）：以前的做法是，为了不让厨师做“裸体菜”，老板把整个厨房（模型的核心部分，叫 U-Net）重新装修了一遍，甚至把厨师的肌肉记忆都强行改写了。
  • 后果：虽然“裸体菜”确实做不出来了，但厨师的手艺也变差了。现在让他做“红烧肉”（普通图片），味道也变了，甚至把“红烧肉”做成了“红烧石头”。这就是所谓的“误伤友军”。

2. 核心发现：找到“大脑”的特定区域

研究人员发现，其实生成图片的过程分两步：

1. 理解菜单（文本编码器）：先读懂顾客想要什么。
2. 动手做菜（去噪器/U-Net）：根据理解去画图。

以前的研究认为，要禁止某种菜，必须去改“动手做菜”的环节（U-Net）。但这篇论文发现，“理解菜单”的环节（文本编码器）里，其实藏着更关键的秘密。

特别是，“裸体”或“特定风格”这种高级概念，并不是均匀分布在厨师的整个大脑里，而是集中在“理解菜单”这个大脑的最早期区域（第一层）。就像是一个特定的神经回路专门负责识别“裸体”这个词。

3. HiRM 的妙计：只改“点菜员”，不改“厨师”

HiRM 方法就像是一个高明的**“点菜员误导计划”**。

• 传统做法：为了不让厨师做“裸体菜”，把厨师的刀都藏起来（修改 U-Net）。结果厨师连切菜都笨手笨脚了。
• HiRM 的做法：
  1. 只动“点菜员”（文本编码器）：我们只修改负责“理解菜单”的第一层大脑，不动后面的厨师。
  2. 高层误导（High-Level Misdirection）：
     • 当顾客点“裸体”时，点菜员（第一层）会接收到指令，但它不直接删除这个概念（因为直接删除会破坏大脑结构）。
     • 相反，它把这个概念**“误导”**到一个完全不同的方向。
     • 比喻：想象顾客点“裸体”，点菜员心里想：“哦，你想看裸体？不行，但我可以把你引导到‘抽象画’或者‘随机乱码’的方向去。”
     • 它把“裸体”这个指令，在最终输出时，强行扭转到一个随机方向或者安全的上级概念（比如把“裸体”引导成“人体艺术”或“模糊的轮廓”）。
  3. 只修第一层：它只修改“点菜员”大脑的最底层（第一层），因为那里是产生“裸体”这个概念的源头。

4. 为什么这招这么厉害？

这就好比你想让一个翻译官（AI）不再翻译“脏话”。

• 旧方法：把翻译官的嘴巴缝上，或者把字典全烧了。结果他连“你好”都说不利索了。
• HiRM 方法：你只告诉翻译官：“以后听到‘脏话’这个词，你就把它当成‘天气’或者‘随机符号’来处理。”
  • 因为只改了翻译官最底层的反应机制，他处理“你好”、“谢谢”、“红烧肉”这些正常词汇时，完全不受影响，依然流利自然。
  • 而且，因为只改了“翻译官”（文本编码器），这个修改后的“翻译官”可以直接换到任何一家新开的餐厅（不同的 AI 模型架构，如 Flux），不需要重新培训厨师。

5. 实际效果：既安全又好用

论文通过大量实验证明：

• 删得干净：对于“裸体”、“特定艺术家风格”等概念，HiRM 能非常有效地阻止生成。
• 误伤少：生成普通图片（如风景、动物）的质量几乎没有下降，依然清晰、美观。
• 抗攻击强：即使有人故意用复杂的提示词（像黑客一样）试图绕过限制，HiRM 依然能守住底线。
• 兼容性好：它可以像“安全补丁”一样，直接打在任何新的 AI 模型上，甚至能和现有的其他防御方法叠加使用，效果加倍。

总结

HiRM 就像是一个精准的“大脑神经调节器”。它不粗暴地切除大脑，而是巧妙地重定向了那些危险想法的流向。它只修改了理解指令的“第一道关卡”，把危险概念悄悄引导到无害的轨道上，从而在彻底消除风险和保留创作自由之间找到了完美的平衡点。

这就好比给 AI 戴上了一副“智能墨镜”：它依然能看清世界（生成高质量图片），但看到“裸体”或“侵权”时，会自动把画面变成马赛克或风景画，而不会让 AI 变傻。

技术摘要

这是一篇发表于 ICLR 2026 的论文，题为 《通过高层表示重定向实现文本到图像扩散模型中的局部概念擦除》 (Localized Concept Erasure in Text-to-Image Diffusion Models via High-Level Representation Misdirection)。

以下是对该论文的详细技术总结：

1. 研究背景与问题 (Problem)

• 背景：文本到图像（T2I）扩散模型（如 Stable Diffusion, Flux）的生成能力日益强大，但也带来了生成有害内容（如 NSFW 色情内容）、侵犯隐私或版权内容的风险。
• 现有挑战：
  • 概念擦除（Concept Erasure）：旨在从模型中移除特定概念（如特定风格、物体或 NSFW 内容），同时保留模型生成其他无关内容的能力。
  • 现有方法的局限性：
    • 基于微调的方法（如 U-Net 微调）：计算成本高，且往往会导致非目标概念的生成质量下降（“灾难性遗忘”）。
    • 基于文本编码器的早期方法（如 Diff-QuickFix）：虽然通过修改文本编码器（Text Encoder）的早期层实现了高效擦除，但实验表明，直接修改早期层会导致高层语义信息的破坏，特别是在处理抽象概念（如 NSFW 内容）时，会严重损害模型的通用生成能力（即“表示破碎”现象）。
  • 核心矛盾：如何在高效擦除目标概念的同时，最大程度地保留模型对非目标概念的生成质量（Utility Preservation）。

2. 方法论 (Methodology)

论文提出了 HiRM (High-Level Representation Misdirection，高层表示重定向) 方法。其核心思想是解耦“更新位置”与“擦除目标”。

• 核心洞察：

  • 基于因果追踪研究，T2I 模型中的视觉属性（Visual Attributes）主要定位在文本编码器（如 CLIP）的早期层（第一 Transformer 块）。
  • 然而，高层语义概念（High-level Semantics）是在文本编码器的最终层整合形成的。
  • 直接修改早期层会破坏基础特征，导致非目标概念受损；而仅修改最终层又无法有效切断因果状态。

• HiRM 的具体策略：

  1. 更新位置（Update Location）：仅微调文本编码器的**第一块（First Block）**参数（$\theta_1$）。这一层包含视觉属性的因果状态，修改它计算成本低且影响范围可控。
  2. 擦除目标（Erasure Target）：在文本编码器的**最终块（Final Block）**计算损失函数。目标是引导目标概念的高层表示（$h^{(L)}$）偏离原始语义，转向指定的向量方向。
  3. 两种变体：
     • HiRM-R (Random)：将目标概念的最终层表示引导至随机向量方向。适用于抽象概念（如 NSFW），因为难以定义具体的替代语义。
     • HiRM-S (Semantic)：将目标概念的最终层表示引导至语义定义的向量（如超类概念，例如将"Van Gogh"引导至"Painting"）。适用于风格或物体移除，能更好地保留语义连贯性。
     • 安全重定向向量：针对 NSFW 概念，利用 Ring-A-Bell 框架构建“安全重定向向量”，通过减去经验性的 NSFW 向量来抑制相关语义。

• 优势：

  • 模块化：仅修改共享的文本编码器，不触碰 U-Net 或去噪器。
  • 可迁移性：修改后的编码器可直接应用于不同的扩散架构（如 Flux1.dev）或 LoRA 微调模型，无需额外训练。
  • 协同效应：可作为“安全补丁”与基于去噪器的擦除方法结合，产生协同增强效果。

3. 关键贡献 (Key Contributions)

1. 提出 HiRM 框架：一种仅在文本编码器早期层进行参数更新，但通过高层语义表示进行监督的概念擦除方法。成功解决了早期层修改导致的生成质量下降问题。
2. 广泛的基准测试表现：
   • 在 UnlearnCanvas 基准（风格与物体擦除）上，HiRM 在擦除准确率（UA）和保留准确率（IRA/CRA）之间取得了最佳平衡，优于 ESD、MACE、SALUN 等 SOTA 方法。
   • 在 I2P 和 Ring-A-Bell 等 NSFW 及对抗攻击基准上，HiRM 展现了极强的鲁棒性，能有效抵御黑盒攻击，同时保持较低的 FID 和较高的 CLIP 分数（即生成质量未受损）。
3. 卓越的迁移性与模块化：
   • 证明了 HiRM 擦除后的编码器可以直接应用于 Flux1.dev（一种基于 Rectified Flow 的先进架构），无需针对新架构进行微调，而传统方法（如 ESD）在此架构上表现不佳。
   • 展示了 HiRM 与基于 U-Net 的擦除方法（如 ESD, CA）结合时的协同效应，显著提升了整体系统的鲁棒性。

4. 实验结果 (Results)

• 风格与物体擦除：在 UnlearnCanvas 上，HiRM-S 在风格擦除中达到了 96.20% 的 UA，同时保持了 95.54% 的 IRA 和 97.74% 的 CRA，综合得分（AA）显著优于大多数基线。
• NSFW 与对抗鲁棒性：
  • 在 Ring-A-Bell 攻击下，HiRM-S 的攻击成功率（ASR）降至接近 0%（例如 Ring-16 为 1.05%），而许多基线方法（如 Diff-Q）在攻击下失效。
  • 在 COCO 基准测试中，HiRM 生成的图像保持了高 CLIP 分数（0.306）和低 FID，证明其未破坏通用生成能力。
• 迁移性实验：在 Flux1.dev 上，HiRM-R 仅通过替换文本编码器就实现了近 50% 的 NSFW 生成减少，且 CLIP 分数与原始 Flux 持平，而需要微调 U-Net 的方法则难以直接迁移。
• 可视化分析：t-SNE 可视化显示，HiRM 成功将目标概念（如"Van Gogh"）的表示从原始簇中移开，而非目标概念的表示在早期层和最终层均保持稳定，证实了“局部擦除”的有效性。

5. 意义与影响 (Significance)

• 理论突破：揭示了文本编码器中“因果状态”（早期层）与“语义整合”（最终层）在概念擦除中的不同作用，提出了一种新的解耦优化范式。
• 实际应用价值：
  • 低成本部署：相比全模型微调，HiRM 训练时间极短（秒级到分钟级），内存占用低，适合资源受限环境。
  • 通用安全补丁：由于仅修改文本编码器，HiRM 可以作为一个即插即用的安全层，快速适配各种新型扩散模型（如 Flux, SD3），解决了新架构缺乏成熟擦除方案的痛点。
  • 防御对抗攻击：为防御针对扩散模型的提示词注入攻击（Prompt Injection）和对抗样本提供了更鲁棒的解决方案。

总结：HiRM 通过巧妙的“早期更新、晚期引导”策略，在概念擦除的有效性、生成质量保留和模型迁移性之间找到了极佳的平衡点，为构建安全、可控的生成式 AI 系统提供了重要的技术路径。