精读笔记
Problem Setting
这篇论文不是在做传统 concept erasure,也不是训练一个更安全的 T2I 模型,而是在已有 diffusion model 的采样过程中做可插拔的目标概念压制。实际问题是:用户 prompt 可能显式或隐式诱导不允许内容,系统需要在不改模型权重、不额外训练、不依赖外部检测器的情况下,在采样时动态判断“目标概念是否正在形成”,并只在必要时介入。
关键矛盾是 safety 和 fidelity 的非对称代价:少推一点会被 adversarial prompt 绕过,多推一点会伤害 benign prompt、破坏风格/构图/语义对齐。固定 negative prompt 把这个矛盾压成一个全局 scale,天然不够;DNG 试图动态化,但把开放词表概念当作可归一化 posterior 事件,要求存在清晰的 ¬c−,这个假设在 T2I 里很弱。真正困难不是有没有一个负向方向,而是如何知道当前样本是否值得沿这个方向推、推多远。
Motivation
已有路线各自缺一块。权重编辑/微调方法能更彻底地抹除概念,但代价是离线优化、能力 ripple effect 和难以按场景切换;外部 classifier 或 VLM guidance 有更直接的检测信号,但引入额外模型、延迟和 detector bias;静态 NP 便宜但粗暴;DNG 的 posterior odds 在 closed-set class 条件下合理,在开放词表概念上则有归一化歧义和数值不稳定。
作者真正抓住的缺口是:扩散模型本身已经是一个隐式判别器,conditional/unconditional/negative-conditioned noise prediction 的相对关系包含“这个样本是否像目标概念”的证据。与其额外训练一个 detector,不如直接从 denoising dynamics 里提取 concept evidence,再把 evidence surplus 转成最小必要干预。
Core Idea
CRG 的核心思想是把“负向 guidance scale 应该是多少”从超参数调节问题改写成约束满足问题:当前 denoising step 的 predicted clean sample 如果估计会超过目标概念 presence 阈值,就把 conditional noise prediction 投影到满足阈值的半空间;如果没有超过,就保持原轨迹。这使得 suppression 成为 evidence-calibrated intervention,而不是全程施加的 regularizer。
本质区别在于它改变了 control signal 的语义。NP 的 scale 是人工设定的全局强度;DNG 的 scale 是 posterior odds,需要定义 c− 与 ¬c− 的概率竞争;CRG 的 scale 是证据超标量,不需要把开放概念归一化成分类概率。这个 inductive bias 很关键:只相信模型内部已经显现的概念证据,只沿 negative direction 做局部最小修正,因此更容易保留原模型的 benign trajectory,也更容易跨 backbone 迁移。
Method
第一,概念存在估计。作者把 CP 写成两个 KL 的差:prompt-conditioned 分布相对 unconditional 的偏离,减去它相对 negative-conditioned 分布的偏离。展开到 noise prediction 后,核心项变成 conditional noise 与 negative guidance direction 的内积。它解决的是“无外部 classifier 时如何得到概念证据”的问题;核心变化是把语义检测转成 diffusion score geometry。
第二,point-wise / step-wise CP。最终图像不可见,完整 unroll 又太贵,所以作者用 Tweedie formula 的 predicted clean sample 做 look-ahead,并用 Gaussian posterior 近似得到当前 step 的 CP 估计。它解决的是采样中途信号不足的问题;核心变化是把未来概念显现风险提前映射到当前 latent。
第三,CRG projection。给定 CP 阈值 τ,若当前估计低于阈值则不干预;若超过阈值,则沿 Δεt 做闭式修正,修正幅度与 CP−τ 成正比。它解决的是 guidance scale 校准问题;核心变化是从 heuristic reweighting 变成 constrained minimum perturbation。
第四,λ0 放大和多概念 sequential projection。前者主要增强鲁棒性,后者扩展目标集合;二者更像工程层面的实用补丁,不是方法成立的核心。
Key Insight / Why It Works
最核心贡献不是“动态 negative guidance”,而是把动态 guidance 的触发依据从 posterior probability 换成 model-internal evidence。这个替换很重要:开放词表 safety concept 很难定义互补类,但可以定义一个方向性证据——当前轨迹是否越来越像 negative prompt 所诱导的分布。CRG 避开了概率归一化问题,所以比 DNG 稳定。
真正有效的部分大概率是三者组合:noise-prediction geometry 提供 representation alignment,Tweedie look-ahead 提供 test-time foresight,half-space projection 提供最小扰动控制。这里不是 scaling,也不是 retrieval;更接近“复用生成模型内部表示做 test-time constrained control”。
最可能是辅助的部分是 λ0 和具体阈值/方差缩放 k。它们显著影响 Pareto frontier,说明理论闭式解本身还不够,实际仍需要按 backbone 和任务校准。SD v3 需要完全不同量级的 k,也暗示 CP 不是天然模型无关的可比量,而是依赖 noise schedule / parameterization 的 surrogate。
负向 prompt selection 也是一个被低估的增益来源。作者用 CP 过滤 negative terms,并显示这些 prompt 也能提升 SAFREE/TraSCE;这说明 CRG 的一部分优势来自更好的 target concept basis。不是坏事,但归因上不能把全部提升都归给 projection 机制。
安全性方面不要过度解读。CRG 压的是用户指定概念在模型内部的方向性证据,不等于理解 policy harmfulness。隐喻、规避表达、跨语言、多对象组合、局部遮挡等场景下,CP 可能低估真实风险。所谓 robust 主要是对既有 red-team prompt benchmark 的 robust,不是对 adaptive adversary 的 robust。
Relation To Prior Work
CRG 最接近的谱系是 inference-time guidance / concept erasure,而不是模型 alignment 或数据过滤。它与 NP 共享同一个 negative guidance direction,与 DNG 共享“动态调节 guidance”的目标,与 STG/auxiliary classifier guidance 共享“根据概念存在程度介入”的思想。
真正不同点在于 concept presence 的来源和使用方式。相对 NP,它新增了 step-wise gating 和 surplus-based scale;相对 DNG,它不估计 posterior odds,而估计未归一化 evidence,避免开放概念互补类问题;相对 classifier guidance,它不引入外部判别器,而把 diffusion model 当作 zero-shot semantic estimator;相对 TraSCE/SAFREE,它更少依赖梯度或 pixel/attention filtering,控制路径更直接。
看似新的部分中,diffusion noise prediction 可用于分类/信息分解并不是全新;Tweedie look-ahead 也来自 inverse problem / posterior approximation 文献;负向 prompt direction 更是已有工具。实质创新是把这些已有思想组织成一个闭式 constrained projection,用于安全采样中的负向 guidance 校准。这是“已有表示 + 新控制律”的贡献,不是新模型架构贡献。
Dataset / Evaluation
评估覆盖面相对充分:nudity 上用了多个 adversarial prompt suite,violence、artist style、identity、多概念作为扩展,backbone 覆盖 SD v1.4、SDXL、SD v3,sampler 也有 deterministic/stochastic 对比。这能较好支持“plug-and-play、跨模型、跨概念可用”的经验 claim。
但 evaluation 仍是典型离线安全 benchmark 形态。ASR 依赖 NudeNet/Q16/VLM 等自动判别器,artist/identity 依赖 GPT-4o、Gemini、Qwen 和有限人评;这些评估能衡量 benchmark 上的显性概念压制,但不能证明真实部署中的 policy compliance。尤其是 nudity/violence 这类 detector 边界明确的概念更适合 CRG,复杂安全规范未被验证。
实验最支持的 claim 是 safety-fidelity trade-off:CRG 在降低 ASR 的同时保持较好 COCO/PartiPrompts fidelity,说明 gating 确实减少了 blanket over-regularization。实验不充分支持的 claim 是“对 adaptive attack 稳健”以及“concept presence 是普适语义指标”。后者只用 NudeNet correlation 做了有限验证,文中未充分说明跨概念的 calibration 可靠性。
Limitation
第一,方法把安全问题转移成 negative prompt coverage 问题。目标概念如果没有被 negative prompt direction 覆盖,CRG 没有额外语义来源;LLM-generated prompt 结果尚可,但不是闭环保证。核心能力可能部分来自数据覆盖和 prompt 工程。
第二,CP 是 surrogate,不是 harmfulness classifier。它测的是模型内部对 c− 的相似证据,而不是人类安全政策。对隐式、上下文依赖、局部、多语种或 adversarially obfuscated 内容,CP 可能失灵。
第三,阈值和 k 的可迁移性有限。不同 backbone/noise schedule 需要不同设置,SD v3 的 k 差异尤其说明这个分数没有天然校准。所谓 generalization 更像机制可迁移,而不是 hyperparameter-free generalization。
第四,多概念扩展还很初级。Sequential projection 在概念方向冲突时可能顺序敏感,且会累积扰动。文中多概念只验证 nudity+violence,不能说明大规模 policy taxonomy 下仍然稳定。
第五,真实部署风险没有被解决。adaptive adversary 可以尝试构造低 CP 但高违规的 prompt,或者诱导目标概念通过非典型视觉路径出现。CRG 应被看作一层 runtime guard,而不是完整 safety system。
Takeaway
- 1. 这篇最值得记住的是:开放词表安全控制不一定要估计 posterior probability;用 diffusion internal evidence 做未归一化的 surplus control 可能更稳定。
- 2. 对 inference-time safety,关键不是找到更强的负向方向,而是学会何时不使用它。
- CRG 的 gating/projection 思路可以迁移到风格抑制、身份保护、版权概念、甚至其他生成模态。
- 3. 未来真正有价值的方向是自动构造和校准 concept basis,而不是继续手调 negative prompt;如果 CP 能和 policy ontology 对齐,CRG 类方法会更像通用 runtime constraint solver。
一句话总结
CRG 是一类 evidence-calibrated inference-time guidance 方法:它把负向 prompt 从固定惩罚项升级为基于扩散模型内部概念证据的闭式约束投影,真正贡献在于更稳定地校准何时、沿哪个方向、以多大幅度压制目标概念。
