精读笔记
Problem Setting
这篇论文真正解决的不是“AI 图像检测”这个静态二分类任务,而是开放世界下检测器面对新生成器时的快速再对齐问题。以前方法的默认假设是:历史生成器中学到的伪迹存在某种跨模型不变量,足以 zero-shot 覆盖未来生成器。但论文给出的现象是,这个假设在新闭源/高质量生成模型上已经破产,检测器不是小幅退化,而是会把大量新 AI 图像判成 Non-AI。
真正困难点在于双重约束:一方面需要用极少样本快速捕捉新生成器的伪迹;另一方面不能因为 fine-tuning 而移动真实图像流形,否则开放世界部署会产生大量 false positive。也就是说,任务的关键矛盾不是 accuracy vs data,而是 adaptability vs Non-AI stability / anti-forgetting。Fleet 的定位正是把这个矛盾显式建模。
Motivation
已有路线不够的根本原因是它们仍在追逐静态表征:频域伪迹、重建误差、CLIP/DINO 语义先验、信息瓶颈或因果过滤,本质上都希望预训练阶段一次性学到未来可用的判别坐标系。但生成器演化不是 iid domain shift,而是带有 adversarial/industrial iteration 的分布漂移;新模型会改变采样器、解码器、后处理、训练数据和安全过滤策略,使旧伪迹相关性失效。
作者真正抓住的缺口是:AIGI 检测系统应该像安全系统一样更新,而不是像封闭 benchmark classifier 一样固定。few-shot 在这里不是为了低资源学习一个新类别,而是为了做 threat alignment。缺的不是更强的静态 detector,而是一个允许小步修正、且修正被约束在 forgery-side 的机制。
Core Idea
Fleet 的核心思想是把 adaptation 从“改特征”变成“改信息流”。模型预训练时学习多个子空间,并让 AI 与 Non-AI 在 routing distribution 上形成互斥偏好;新生成器出现时,不让少量样本随意更新 backbone 表征,而是强迫新 AI 样本避开 Non-AI anchor route。由于 routing softmax 是竞争式的,压低 Non-AI 路由会自然把流量推向某些 AI-oriented 子空间,从而实现作者所谓的 Shunt-and-Isolate。
这个建模方式的本质区别在于,它不再假设存在一个统一、稳定、可外推的伪迹方向,而是假设“真实图像流形应该被保护,新伪迹只需要被从真实路由中排斥出去”。这是更弱但更实用的假设。它引入的 inductive bias 是互斥子空间 + 避让式更新:新分布可以被吸收,但吸收路径被限制,避免 few-shot 样本把整个判别空间拉歪。
Method
方法里机制上必要的部分可以压缩成四点。
第一,频率引导路由解决的是“用什么信号决定走哪个子空间”。高频分支不是主要分类器,而是作为 routing controller,使低层生成痕迹影响子空间选择,减少语义内容支配检测判断的风险。
第二,互斥子空间解决的是“少样本更新时有没有可操作的结构”。orthogonality 让 AI/Non-AI routing 分离,coverage 防止所有样本挤到少数 route。没有这个结构,后续 avoidance 只是普通正则;有了它,few-shot 更新才像是在已有路由图上重新拨开关。
第三,avoidance routing 解决的是“新 AI 样本误入真实图像通道”。它不是直接把新样本拉向某个 AI prototype,而是让它远离 Non-AI anchor。这个设计比 positive alignment 更保守,也更适合开放世界:不知道新伪迹属于哪类,但至少不该走真实图像路径。
第四,replay/distillation 解决的是“持续适应时不要忘掉旧边界”。这部分是标准 continual learning 思想,但在这里很关键,因为论文的 claim 不是单次 fine-tune,而是可部署的动态检测器。没有 replay,Fleet 很可能退化为普通 few-shot overfit。
Key Insight / Why It Works
最核心的有效性来源大概率是 constrained adaptation,而不是某个单独模块。Fleet 把少样本监督的作用限制在 routing correction 上,使模型可以利用目标生成器样本,但不允许这些样本大幅重塑 Non-AI 表征。这解释了为什么它能同时提升新 AI 检出率和保持 pretrain validation accuracy。
第二个关键是“避开真实流形”比“学习新伪迹类别”更容易。10-shot 下很难稳定估计一个新生成器的完整分布,但可以比较可靠地估计它不应激活哪些 Non-AI-dominated routes。这个负向约束比正向原型学习更稳,尤其在生成器风格/语义多样时。
第三,增益中相当一部分可能来自更强的 representation alignment 和 data/backbone scaling。DINOv3 + LoRA + replay + Treasure 覆盖本身已经很强;Fleet 的 ablation 显示 avoidance loss 有明显贡献,但 baseline 差距并不大到能完全排除 engineering/scaling 的作用。文中未充分说明不同 backbone、不同预训练数据规模、不同 support 采样策略下机制是否仍同等重要。
第四,这不是 retrieval,但有 memory reuse 的味道:replay anchor 和旧特征蒸馏相当于维护旧分布的几何参照系,新样本只是围绕这些参照系做局部校正。所谓 continuous evolution 更像 continual PEFT with structured routing,而不是生成器机制层面的因果理解。
第五,鲁棒性结果需要谨慎解读。高频路由理论上对 JPEG/blur 应该敏感,但实验中 Fleet 稳定,可能说明主要判别能力并不完全来自高频分支,而是来自 DINOv3 表征、routing 正则和训练数据覆盖的组合。这里的归因仍不清晰。
Relation To Prior Work
Fleet 最接近三条线:generalized AIGI detection、few-shot AIGI detection、continual learning/PEFT。与 FreqNet/NPR/DIRE/PLM 等 zero-shot 检测器相比,它放弃了“未来生成器可由静态伪迹覆盖”的强假设,转向部署后适应。与 CLIPDetection/AIDE/CausalCLIP 等 foundation-model detector 相比,它不是单纯依赖大模型先验,而是在大模型表征上加入可控路由结构。
与 FSD/FAMSeC/FTNet 等 few-shot 方法相比,真正不同点是它不是简单做 prototype matching、LoRA 微调或 hard-sample gallery,而是显式约束 few-shot 更新的方向:新 AI 样本主要被要求避开 Non-AI route,旧分布通过 replay/distillation 固定。这个差异是实质性的,因为它直接对应开放世界中的 false positive 与 forgetting 问题。
看似新的部分里,replay、distillation、LoRA、orthogonal subspace、frequency cue 都不是新思想;实质创新在于把这些重组为一个面向 AIGI 动态防御的 routing-correction 框架。它属于“static universal detector → adaptive forensic system”的范式移动,而不是单纯 detector architecture 改进。
Dataset / Evaluation
Treasure 是论文另一半贡献,而且对 claim 很关键。它覆盖 64 个生成模型、包含大量 2025/2026 附近的新模型和闭源商业 API,比 GenImage/AIGIBench 更能暴露静态检测器的滞后问题。这个 benchmark 确实支持作者对“旧 benchmark 饱和掩盖真实失败”的批评。
但 evaluation 主要验证的是 supervised few-shot adaptation:每个目标生成器都提供 support set,并且 Non-AI support 来自指定数据源。这与真实部署存在差距,因为真实场景中目标生成器标签、样本纯度、Non-AI 对照分布都未必可靠。换言之,实验很好地证明“如果我知道新威胁并拿到少量标注样本,Fleet 能快速适应”,但没有证明“在完全未知流式环境中自动发现并适应新威胁”。
另外,Treasure 同时作为提出 benchmark 和验证方法的环境,存在 benchmark-design bias 的可能:数据构成、prompt 分布、Non-AI 定义、风格标签和闭源样本采集方式都会影响结论。文中未充分说明商业模型样本与公开数据、训练 prompt、已有 benchmark 的潜在 overlap,也没有充分讨论真实社交平台压缩/裁剪/混编后的表现。
Limitation
Fleet 的主要上限不在模块,而在假设。第一,它需要少量可靠标注的新生成器样本;如果新威胁无法被及时标注,dynamic adaptation 无从发生。第二,它假设 Non-AI manifold 可通过有限 replay buffer 稳定代表,但真实 Non-AI 包含摄影、设计、插画、扫描件、广告图、截图等复杂域,replay 选择会成为系统瓶颈。
第三,它把问题从“找通用伪迹”转移为“持续维护路由和 replay memory”。这更实用,但不是免费午餐:生成器数量增长后,子空间容量、routing collision、replay buffer 分配、旧生成器 retention 都会成为长期问题。附录 20-stage 结果是有价值的,但仍远小于真实部署的长尾规模。
第四,增益归因不完全清楚。核心能力可能主要来自 DINOv3 表征、Treasure 覆盖和 replay 约束,routing 贡献虽然存在,但是否在更弱 backbone、更少数据、更脏 support、更复杂后处理下仍成立,文中未充分说明。
第五,方法仍偏 full-image generation。局部编辑、face swap、inpainting、image-to-image、multi-stage compositing 可能不满足全图高频路由假设。对抗性生成器如果显式优化避开检测器或模拟 Non-AI 高频统计,avoidance routing 可能会被迫在错误锚点附近工作。
Takeaway
- 1. AIGI detection 的下一阶段很可能不是继续追求 universal zero-shot,而是构建可持续更新的 forensic system;这篇论文把这个转向讲得比较清楚。
- 2. 少样本适应的关键不是“多学一点新类”,而是“不要破坏真实图像流形”。
- 把 adaptation 约束成 routing correction 是可迁移的 insight,适用于其他安全检测任务,如 deepfake video、synthetic audio、LLM-generated text detection。
- 3. 负向约束可能比正向原型更适合开放世界检测:未知攻击样本未必能被精确定义,但可以被要求远离 trusted/benign manifold。
一句话总结
Fleet 是 AIGI 检测从静态零样本泛化走向少样本持续适应的一次明确范式转移,其真正贡献是用互斥子空间和 avoidance routing 把新生成器适应约束为“避开真实流形的受控路由修正”。
