精读笔记
Problem Setting
这篇论文实际处理的是 text-guided I2V 场景下的 proactive image protection:图片发布者在原图上加入不可见扰动,使后续任意用户用文本 prompt 动画化这张图时,生成视频出现主体漂移、结构崩坏、时间不一致或显著 artifact。真正困难点不在于白盒攻击一个固定模型,而在于 prompt 未知、生成目标未知、视频输出随机性高,并且 I2V 模型本身有很强的语义补全能力。以前 I2VGuard 这类方法更接近输出/轨迹层面的破坏,需要 reference video 或额外 forward,计算重且容易绑定到具体生成过程。这个任务的关键矛盾是:防护扰动必须足够小以保持图片可发布,同时又必须足够系统性地干扰模型内部条件融合,否则强 prompt 和视频先验会把轻微输入扰动吸收掉。
Motivation
已有图像防护路线通常攻击 encoder、latent、attention 或最终生成一致性,但在 I2V 里,单纯破坏图像条件并不一定足够,因为文本 prompt 会提供动作、语义和结构先验,帮助模型重新稳定生成。作者最重要的观察是:在 CogVideoX、LTX、Wan 等现代 I2V 模型中,去掉文本后视频质量不仅动作差,主体保持、结构一致性和时间连贯性都会明显退化。这说明文本在 I2V 中不是外围控制信号,而是 denoising 稳定器。关键缺口因此变成:有没有一种保护方式不依赖具体 prompt,也不需要指定坏视频,而是直接削弱文本稳定生成的能力。Anti-Prompt 正是沿着这个缺口设计的。
Core Idea
论文真正的核心是把保护目标从“让某次生成坏掉”改写成“让文本条件无法有效参与 denoising”。它不试图预测攻击者会写什么 prompt,也不优化某个目标视频,而是直接操纵模型中间的信息流:降低 text-conditioned contribution,提高 visual-only contribution 的相对支配性。直觉上,这会把模型推向类似 prompt-free generation 的工作区间,而作者观察到该区间天然不稳定。
这个想法和 prior 的本质区别在于攻击对象更靠近条件融合机制,而不是靠近输出视频。I2VGuard 的思路更像在生成轨迹或时空一致性层面施压;Anti-Prompt 则认为失败的根因可以通过破坏 text-visual coupling 来触发。它引入的 inductive bias 是架构级的:无论 prompt 怎么变,text-guided I2V 都需要文本路径参与稳定生成;只要扰动能让该路径在注意力竞争或残差组合中变弱,就比 prompt-specific perturbation 更可能泛化。
Method
方法保留三个机制即可理解。第一是 text suppression:在 full-attention 架构中压低 video token 对 text token 的 pre-softmax logits;在 cross-attention 架构中压低 cross-attention residual 的能量。它解决的是文本路径显式注入的问题,让 prompt 对 latent update 的直接影响下降。
第二是 visual dominance:仅仅压低当前文本路径可能过拟合具体 prompt,所以作者同时放大视觉-only路径。在 full-attention 中,这利用 softmax 归一化的竞争效应,让 video/image logits 抢占 text attention mass;在 cross-attention 中,则让 self-attention residual 在加性残差里压过 cross-attention residual。这个机制的核心变化是从“绝对删除文本”转向“改变相对路径主导权”。
第三是 encoder attack:把扰动图像的 VAE latent 拉向无信息目标,进一步削弱可用图像条件。这个组件并不新,更多是继承 PhotoGuard/I2VGuard 的保险项。它有必要,因为文本路径被压弱后,如果图像 conditioning 仍然稳定,模型可能仍能生成可接受的视频;但从论文自身消融看,主要增益更可能来自 visual dominance 与 text suppression 的组合,而不是 encoder attack 本身。
Key Insight / Why It Works
最关键 insight 是:text prompt 在当前 I2V diffusion 模型里承担了比语义控制更强的结构稳定功能。Anti-Prompt 有效,不是因为它“反 prompt”地理解了文本,而是因为它利用了模型内部的条件依赖脆弱性:当文本路径的 contribution 被压低后,模型并不会自然回退到一个强 image-only animator,而是进入主体、结构、动态都不稳的区域。这说明当前 I2V 的 image conditioning 并不足以独立支撑高质量动画,文本在训练分布中被模型学成了稳定器。
技术上最可能是核心贡献的是 visual dominance,而不只是 text suppression。单纯压低某个 prompt 的 text attention 很容易 prompt-specific;提升视觉-only路径的相对权重,则在 full-attention 的 softmax 竞争中会放大成 attention mass 的重分配,在 cross-attention 的残差结构中会改变 update dominance。这是一个更接近 representation alignment / information routing attack 的思路,而不是普通 adversarial noise。
这不是 scaling,也不是 retrieval,也不是长期 reasoning;它本质上是利用 latent denoising 中多模态条件融合的结构性弱点。encoder attack 更像辅助扰动源,Video-LLM evaluation 是评价层贡献,不是保护机制贡献。文中没有充分隔离“注意力路径改变”与“VAE latent 被推到分布外”各自的贡献,因此增益归因仍不完全干净。尤其在 purification 后,不同方法的 failure mode 会变化,说明扰动中可能仍有相当部分是高频/latent artifact,而不全是语义级路径控制。
Relation To Prior Work
这篇最接近 I2VGuard、PhotoGuard、DiffusionGuard、attention-level protection 和 adversarial perturbation for generative models 这条谱系。它不是从零提出新型防护范式,而是把已有的 adversarial image protection 推到 I2V 的 text-conditioning 机制上。encoder attack 是直接继承,PGD 优化也没有新意,真正新增的信息是:在 I2V 中,攻击 text-conditioned pathway 比攻击最终视频一致性更便宜、更 prompt-agnostic。
与 I2VGuard 的本质差异在于优化对象。I2VGuard 更偏向生成结果或参考视频驱动的 spatio-temporal degradation,因此需要额外视频生成和双 forward;Anti-Prompt 直接使用中间 attention/residual statistics,避免 reference video,也更贴近架构共享机制。与传统 prompt attack 不同,它不是寻找恶意文本,而是在图像端制造一种让文本失效的输入状态。实质创新主要是这个路径级视角,以及 full-attention/cross-attention 下的统一解释;模块本身并不复杂。
Dataset / Evaluation
实验覆盖了两个代表性开源 I2V 架构:CogVideoX 代表 full-attention,LTX-Video 代表 cross-attention,并在 VBench I2V 图像集上评估,包含 seen prompt、GPT 构造的 unseen prompt、cross-model transfer 和 purification。这个覆盖足以支持“在当前开源 diffusion I2V 架构上有效且比 I2VGuard 更高效”的 claim,但不足以支持更强的真实世界防护 claim。
评价设计有一个合理判断:传统 VBench 偏质量评分,不一定捕捉防护任务中“一处明显失败即可让视频不可用”的非对称性。因此作者引入 Video-LLM failure-finding protocol,按主体、结构、动态、artifact 四维打分,并做 human alignment 与 evaluator consistency。这个方向是对的,因为防护评估确实不等同于视频质量评估。但它也带来明显风险:Video-LLM 容易偏向可见 artifact 和局部 failure,且其评分是否对应真实滥用场景中的“不可用”并未被充分验证。没有真实社交平台压缩链路、闭源模型、攻击者自适应策略,deployment gap 仍然很大。
Limitation
第一,方法依赖当前 I2V 模型的文本路径脆弱性。如果未来模型具备强 image-only temporal prior,或者训练时显式增强 prompt dropout/image-only generation,那么去文本不再导致结构崩坏,Anti-Prompt 的核心假设会变弱。
第二,泛化并非真正模型无关。论文展示了 cross-architecture transfer,但都在 diffusion I2V、相近 VAE/attention conditioning 范式内。所谓 transferability 更可能来自架构家族共享的信息流,而不是通用视觉防护原理。
第三,per-image 优化仍然重。CogVideoX 单图约数分钟级,这对大规模图库保护不现实;它比 I2VGuard 快,但不是即时方案。universal perturbation 或 amortized protector 才是部署上真正需要的方向。
第四,purification 会削弱保护,且文中显示 failure mode 会被后处理改变。这说明扰动仍有相当部分依赖可被滤除的像素/latent 细节,而不是完全稳健的语义级控制。
第五,增益归因不完全清晰。虽然消融说明 text suppression 和 visual dominance 互补,但没有充分量化注意力分布变化、残差能量变化与最终视频失败之间的因果关系。文中未充分说明扰动是否主要通过预期路径生效,还是通过让输入 latent 分布外间接触发 failure。
Takeaway
- 最值得记住的不是某个 loss 形式,而是 I2V 防护可以攻击“文本作为生成稳定器”这一结构性依赖。
- 未来 I2V protection 很可能从 output-level degradation 转向 condition-routing / representation-routing attack,因为后者更便宜,也更容易跨 prompt。
- 这篇真正推动的是评价和机制视角:保护成功不应只看平均视频质量下降,而要看是否出现足以破坏 image-faithful animation 的显著 failure;同时,攻击中间条件路径比生成 reference video 更 scalable。
- 可迁移的 insight 是:在多模态生成模型中,某个 conditioning stream 往往承担隐式稳定功能。
一句话总结
Anti-Prompt 是 I2V 图像防护从输出级视频破坏转向条件信息流破坏的一步,真正贡献在于把“削弱文本稳定器、重排视觉/文本路径主导权”作为更高效、更可迁移的防护机制。
