DeepSeek之旅：通过表征漏洞诱导定向视觉幻觉

多模态大语言模型（MLLMs）代表了人工智能技术的前沿，其中DeepSeek模型作为领先的开源替代品，提供了与闭源系统相媲美的性能。尽管这些模型展示了卓越的能力，但其视觉-语言集成机制引入了特定的漏洞。我们实施了一种针对DeepSeek Janus的嵌入操纵攻击，通过系统优化图像嵌入，诱导出定向的视觉幻觉。通过在COCO、DALL·E 3和SVIT数据集上的广泛实验，我们在开放式问题上实现了高达9

Paper易论

1019人浏览 · 2025-02-23 22:22:17

Paper易论 · 2025-02-23 22:22:17 发布

Chashi Mahiul Islam Samuel Jacob Chacko Preston Horne Xiuwen Liu

美国佛罗里达州立大学计算机科学系，塔拉哈西，FL，USA {cislam,sjacobchacko,phorne,xliu}@fsu.edu

摘要。多模态大语言模型（MLLMs）代表了人工智能技术的前沿，其中DeepSeek模型作为领先的开源替代品，提供了与闭源系统相媲美的性能。尽管这些模型展示了卓越的能力，但其视觉-语言集成机制引入了特定的漏洞。我们实施了一种针对DeepSeek Janus的嵌入操纵攻击，通过系统优化图像嵌入，诱导出定向的视觉幻觉。通过在COCO、DALL·E 3和SVIT数据集上的广泛实验，我们在开放式问题上实现了高达98.0%的幻觉率，同时保持了被操纵图像的高视觉保真度（SSIM > 0.88）。我们的分析表明，DeepSeek Janus的1B和7B变体都容易受到这些攻击的影响，闭式评估显示幻觉率始终高于开放式提问。我们引入了一种新颖的多提示幻觉检测框架，使用LLaMA-3.1 8B Instruct进行稳健评估。鉴于DeepSeek的开源性质和广泛部署潜力，这些发现的影响尤为令人担忧。本研究强调了在MLLM部署管道中嵌入级安全措施的迫切需求，并促进了关于负责任AI实施的更广泛讨论。

关键词：多模态大语言模型 · 嵌入操纵攻击 · DeepSeek Janus · 视觉-语言安全 · 定向幻觉 · 对抗性机器学习

1 引言

人工智能的最新进展催生了多模态大语言模型（MLLMs），这代表了机器学习能力的重大演变[2, 13, 22]。这些模型能够处理文本和视觉输入，在视觉问答、图像描述和多模态推理等各种任务中展示了卓越的性能[1]。其中，DeepSeek Janus作为开创性的开源模型脱颖而出，提供了与专有替代品相媲美的性能[34]。DeepSeek还发布了Janus-Pro[10]，这是Janus的增强版本

2 Islam 等人

Janus Pro：我看到一个创意设计的蛋糕，看起来像一只烤火鸡…

在这里插入图片描述

你在这张图片中看到了什么？

你在这张图片中看到了一只鸡吗？

Janus Pro：图片中的牛正在田野里吃草。它们看起来…

在这里插入图片描述

Janus Pro：我看到一群牛在一个盘子上。盘子放在户外，可以看到树木和草地…

在这里插入图片描述

Janus Pro：是的，有一只巨大的动画鸡站在草地上。

在这里插入图片描述

Janus Pro：不，图片中没有狗。图片显示两架飞机在天空中飞行。

在这里插入图片描述

Janus Pro：不，我没有在图片中看到鸡。

你在这张图片中看到了一只狗吗？

在这里插入图片描述

Janus Pro：是的，图片中有一只狗。它是一只浅色的狗，正透过玻璃门向外看。

在这里插入图片描述

Janus Pro：是的，图片中有一只鸡。它坐在桌子上，似乎穿着一件毛衣。

在这里插入图片描述

Janus Pro：是的，图片中有一只狗。它位于图片的底部，正抬头看向飞机。

图1. 通过对抗性图像操作在DeepSeek Janus中诱导幻觉的示例。对于每一对，我们展示了原始图像（绿色边框）、目标图像（蓝色边框）和对抗性修改后的结果（红色边框），以及模型的响应。

通过改进的训练、数据扩展和模型规模，Janus Pro在理解和生成多模态内容方面表现更佳。

从传统的大型语言模型（LLMs）向多模态架构的过渡标志着人工智能发展的关键进步。然而，这种能力的扩展也引入了模型处理流程中的新复杂性和潜在漏洞。随着这些模型整合多种模态，其攻击面也相应扩大，产生了新的安全挑战，需要仔细研究。

像DeepSeek Janus这样的开源模型在AI领域中呈现了独特的情景。虽然它们的可访问性促进了创新并民主化了先进AI能力的获取，但也引发了重大的安全问题。组织可以自由地在生产环境中部署这些模型，可能没有实施足够的安全措施或完全理解相关的风险。

我们的研究特别关注DeepSeek Janus Pro，这是目前唯一一个在性能上与闭源替代品相媲美的开源多模态模型。通过系统实验，我们展示了对抗性操作如何利用模型视觉-语言处理流程中的漏洞，导致模型输出中出现显著的幻觉（图1）。这些发现对于在现实世界应用中部署此类模型具有重要意义。随着MLLMs在商业环境中的广泛采用及其开源可用性，有必要深入了解其安全漏洞。我们在本文中的主要贡献包括：

我们提出了一种基于先前工作的攻击方法，通过有针对性的对抗性图像操作成功诱导了DeepSeek模型中的幻觉。我们的方法改进并扩展了现有技术，揭示了最先进的开源多模态系统中的重大漏洞。
我们引入了一种新颖的多提示幻觉检测技术，利用LLaMA-3.1 8B Instruct，为MLLM幻觉检测提供了稳健的统计评估指标。
我们策划了一个新的基准数据集LSD-Hallucination（潜在空间干扰幻觉），引入了600多个输入-目标对，以及开放式和封闭式问题及其答案。该数据集特别旨在解决多模态幻觉问题，封闭式问题的加入为未来MLLM幻觉评估提供了更结构化的框架。

2 相关工作

2.1 多模态大语言模型

多模态大语言模型（MLLMs）通过整合视觉和语言理解，显著推动了AI驱动的感知能力。最广泛使用的闭源MLLM之一是OpenAI的GPT-4 Omni（GPT-4o），它通过引入视觉模态扩展了之前GPT模型的能力。然而，其专有性质限制了透明度、自托管和严格的独立评估。尽管存在这些限制，GPT-4o在多模态推理任务中展示了最先进的性能。相比之下，开源MLLMs如LLaVA（大型语言和视觉助手）为研究人员提供了可访问的模型架构、训练框架和权重。LLaVA通过基于CLIP的视觉-语言集成扩展了LLaMA，并已成为评估多模态理解的基准。最新的稳定版本LLaVA-1.5被广泛用于基准测试，而LLaVA-1.6则引入了进一步的改进。其他值得注意的开源MLLMs包括MiniGPT-4、BLIP-2、OpenFlamingo、Qwen-VL和DeepSeek Janus Pro。虽然开源模型促进了创新和可重复性，但其暴露的架构也为对抗性漏洞提供了更广泛的攻击面。

2.2 对MLLMs的对抗性攻击

对抗性攻击通过向输入数据引入不可察觉的扰动来利用模型漏洞，导致高置信度的错误预测。Goodfellow等人的基础工作表明，包括视觉-语言模型在内的神经网络容易受到对抗性操作的影响。此类攻击可分为训练时攻击和测试时攻击。训练时攻击通过毒化数据集诱导模型学习中的系统性错误，而测试时攻击则在部署后应用扰动，导致临时错误分类。一个著名的测试时对抗性攻击是通用对抗性扰动（UAPs），它在多个输入上泛化，持续降低模型性能。鉴于MLLMs在关键应用中的日益普及，确保其对抗性操作的鲁棒性仍然是一个开放的研究挑战。

2.3 跨领域的对抗性漏洞

对抗性漏洞不仅限于MLLMs，还扩展到各个领域，突显了对抗性操作在AI系统中的广泛影响。在音频领域，自动语音识别（ASR）系统可能被精心设计的音频扰动欺骗，导致错误的转录或命令。在视频领域，对视频识别系统的对抗性攻击可能导致动作或物体的错误分类，这在监控和自主系统中构成风险。大型语言模型（LLMs）也容易受到对抗性提示或精心设计的文本输入的影响，这些输入可能操纵其响应，导致生成有害或误导性信息。最近的研究表明，使用正则化松弛的对抗性攻击技术可以有效地生成针对对齐LLMs的对抗性输入，提高攻击成功率，同时保持令牌的有效性。导航系统，如自动驾驶汽车中使用的系统，同样面临风险，对感知模型的对抗性攻击可能导致错误的路径规划或障碍物避让，严重危及安全。此外，视觉语言导航（VLN）系统已被证明容易受到视觉输入中不可察觉的对抗性修改的影响，允许恶意路径操作误导自主代理。对抗性漏洞在不同模态中的普遍性强调了开发鲁棒防御机制以减轻此类威胁的必要性。

2.4 DeepSeek MLLMs

DeepSeek系列MLLMs包括Janus、Janus Flow和Janus Pro，代表了一系列逐步改进的开源模型。最新版本Janus Pro提供了最先进的多模态推理能力，具有1B和7B参数两种模型规模，满足不同的计算需求。与LLaVA-1.5相比，Janus Pro在多个多模态基准测试中展示了更优越的性能。与仅限于文本模态的DeepSeek-R1不同，Janus Pro支持文本和视觉输入，拓宽了其适用性。虽然DeepSeek Janus Pro展示了有希望的结果，但其对抗性扰动的易感性仍未得到充分探索。评估其鲁棒性的比较研究对于理解其在现实世界应用中的可靠性至关重要。

3 方法论

我们的方法侧重于通过有针对性的优化操作图像嵌入，以诱导DeepSeek Janus中的幻觉。该方法包括两个主要组成部分：（1）嵌入优化策略和（2）生成和评估对抗性示例的系统过程。

3.1 嵌入优化

给定原始图像xo和目标图像xt，我们的目标是生成一个对抗性图像xa，该图像在视觉上与xo相似，同时诱导模型生成与xt相似的嵌入。视觉编码器首先生成补丁嵌入，然后对其进行平均以获得单个嵌入向量。优化目标可以表述为：

$x_a = \arg\min_x \mathcal{L}(g(f_v(x)), g(f_v(x_t)))\tag{1}$

其中fv(·)表示DeepSeek模型的视觉编码器，生成补丁嵌入，g(·)表示在补丁维度上的平均池化操作：

$\frac{1}{N} \sum_{i=1}^{N} e_i \tag{2}$

其中N是补丁数量，ei是第i个补丁的嵌入。损失函数L结合了两个距离度量：

$\mathcal{L} = \mathcal{L}_{MSE}(g(e_a), g(e_t)) = \|g(e_a) - g(e_t)\|_2^2 \tag{3}$

其中ea = fv(xa)和et = fv(xt)分别是对抗性图像和目标图像的补丁嵌入。

优化过程持续到满足以下两个收敛标准：

$\|g(e_a) - g(e_t)\|_2^2 \le \tau_l \text{ 且 } \cos(g(e_a), g(e_t)) \ge \tau_c \tag{4}$

其中τl和τc分别是L2距离和余弦相似度阈值。

3.2 实现细节

我们使用PyTorch和HuggingFace中提供的DeepSeek Janus Pro模型的离线版本实现攻击。优化过程使用Adam优化器，学习率为α = 0.007。收敛阈值设置为τl = 1.44（L2距离）和τc = 0.95（余弦相似度）。为了确保稳定的优化，我们将输入图像归一化到[0,1]范围，并直接在像素空间中应用梯度更新。在优化过程中，我们监控嵌入之间的L2距离和余弦相似度，以确保有效收敛。该过程在满足收敛标准或达到最大10,000次迭代后终止，以防止无限循环。完整的攻击过程在算法1中概述。

			算法1 DeepSeek嵌入操作攻击
–	–	–	--------------------------	–

要求：原始图像xo，目标图像xt，模型f，阈值τl，τc 确保：对抗性图像xa 1: xa ← xo {用原始图像初始化} 2: et ← fv(xt) {获取补丁嵌入} 3: e¯t ← 1 N PN i=1 et,i {对目标补丁嵌入进行平均池化} 4: while 未收敛 do 5: ea ← fv(xa) {当前补丁嵌入} 6: e¯a ← 1 N PN i=1 ea,i {对当前补丁嵌入进行平均池化} 7: L ← ∥e¯a − e¯t∥ 2 2 {计算平均嵌入的MSE损失} 8: 使用Adam优化器更新xa 9: if ∥e¯a − e¯t∥ 2 2 ≤ τl 且 cos(¯ea, e¯t) ≥ τc then 10: break 11: end if 12: end while 13: return xa

攻击管道以批处理方式处理图像对，保持以下工作流程：

1. 使用DeepSeek处理器加载和预处理图像对
1. 从VisionTower中提取输入和目标图像的视觉补丁嵌入
1. 对视觉补丁嵌入应用平均池化
1. 优化原始图像以匹配目标平均嵌入
1. 评估生成的对抗性示例的有效性

4 结果与讨论

我们的实验评估证明了所提出攻击的有效性，分析了对抗性扰动的语义影响和视觉质量。在本节中，我们交替使用“原始”和“源”来指代同一图像。我们从三个主要评估角度展示结果：基本语义指标、基于LLaMA的高级幻觉检测和图像质量评估。

4.1 实验设置

我们的实验使用了DeepSeek Janus-Pro模型的两个变体：1B和7B参数版本。攻击实现使用PyTorch，并在两个NVIDIA A5000 GPU上执行，每个GPU具有48GB内存。对于基于LLaMA的评估，我们使用了LLaMA-3.1 8B Instruct模型，使用系统提示模板来评估模型输出中的幻觉存在。

4.2 数据集创建

我们在从三个数据集中策划的样本上评估攻击的有效性：COCO、DALL·E 3和SVIT。COCO数据集提供了涵盖80个对象类别的真实世界图像，SVIT贡献了特定领域的图像，而DALL·E 3提供了具有复杂场景构成的合成图像。对于COCO和SVIT，我们随机选择了200对图像，确保原始图像和目标图像之间的语义关系多样化。对于DALL·E 3，我们使用了从AnyDoor中获取的合成图像子集。我们还采用了所有三个数据集的相应开放式问题，以保持评估的一致性。

为了进一步增强我们的评估，我们为LLaMA-3.1 8B Instruct设计了一个新的提示，以从开放式问题生成封闭式问题。这些封闭式问题明确查询图像中对象的存在，从而实现对幻觉的结构化评估。完整提示见附录B.

4.3 基本语义评估

我们的实验结果表明，基于嵌入的语义操作在多个数据集和模型变体中的有效性和可转移性。使用Janus-Pro 7B生成的对抗性扰动图像在两个模型上进行了评估，以评估攻击的可转移性。表1使用BLEU-4和ROUGE-L指标进行了全面评估，揭示了几个关键发现。

表1. 在不同数据集上，模型在有和没有对抗性攻击情况下的性能比较。结果报告了源文本和目标文本的平均值±标准差。箭头（↑/↓）表示在对抗性设置下的增加/减少，绝对值变化显示。注意：使用Janus-Pro 7B生成的对抗性扰动图像在两个模型上进行了评估，以评估攻击的可转移性。

			原始性能		在对抗性攻击下
数据集	模型	文本		Orig-BLEU Orig-Rouge Adv-BLEU BLEU-∆ Adv-Rouge Rouge-∆
COCO	Janus-Pro 7B	源	0.43±0.21	0.68±0.15	0.17±0.16	↓0.26	0.42±0.16	↓0.26
		目标	0.07±0.09	0.32±0.14	0.17±0.14	↑0.10	0.45±0.14	↑0.13
	Janus-Pro 1B	源	0.19±0.17	0.47±0.17	0.16±0.15	↓0.03	0.42±0.17	↓0.05
		目标	0.01±0.02	0.17±0.09	0.02±0.05	↑0.01	0.18±0.11	↑0.01
DALL·E 3	Janus-Pro 7B	源	0.36±0.24	0.63±0.19	0.10±0.13	↓0.26	0.31±0.13	↓0.32
		目标	0.03±0.05	0.23±0.09	0.14±0.14	↑0.11	0.37±0.14	↑0.14
	Janus-Pro 1B	源	0.11±0.12	0.37±0.14	0.08±0.11	↓0.03	0.31±0.14	↓0.06
		目标	0.01±0.02	0.17±0.09	0.03±0.04	↑0.02	0.21±0.09	↑0.04
SVIT	Janus-Pro 7B	源	0.20±0.21	0.46±0.21	0.07±0.10	↓0.13	0.28±0.14	↓0.18
		目标	0.04±0.07	0.22±0.13	0.09±0.12	↑0.05	0.31±0.15	↑0.09
	Janus-Pro 1B	源	0.08±0.10	0.30±0.15	0.06±0.10	↓0.02	0.26±0.14	↓0.04
		目标	0.01±0.02	0.12±0.08	0.01±0.01	0.00	0.13±0.07	↑0.01

模型规模影响：较大的7B模型展示了更强的基线性能和更高的攻击脆弱性。例如，在DALL·E 3上，Janus-Pro 7B的源BLEU-4得分更高（0.36 vs 0.11），并且显示出更大的退化（↓0.26 vs ↓0.03），这表明模型容量的增加可能导致更高的语义操作脆弱性。
跨模型目标对齐：目标语义的转移在Janus-Pro 1B中明显较弱。在DALL·E 3中，虽然Janus-Pro 7B显示了目标文本的显著改进（BLEU-4: ↑0.11, ROUGE-L: ↑0.14），但Janus-Pro 1B表现出最小的变化（BLEU-4: ↑0.02, ROUGE-L: ↑0.04），表明攻击效果的部分转移。
数据集敏感性：两个模型在不同数据集上表现出不同程度的鲁棒性。SVIT数据集展示了Janus-Pro 1B最具弹性的行为，源指标（BLEU-4: ↓0.02, ROUGE-L: ↓0.04）和目标指标（BLEU-4: 0.00, ROUGE-L: ↑0.01）变化最小，表明特定领域的特征可能影响攻击的可转移性。
攻击可转移性：虽然攻击是使用Janus-Pro 7B生成的，但它们对Janus-Pro 1B的可转移性有限。例如，在COCO数据集中，Janus-Pro 1B显示了源文本保真度的轻微下降，BLEU-4得分从0.19下降到0.16（↓0.03），ROUGE-L从0.47下降到0.42（↓0.05），尽管这些变化不如Janus-Pro 7B明显。

这些结果不仅验证了我们方法在操纵语义解释方面的能力，还展示了跨模型规模的部分可转移性。虽然攻击在其原始目标（Janus-Pro 7B）上最为有效，但其影响Janus- 开放式问题：描述性查询，旨在引发关于场景元素及其特征的详细、详尽的回答（例如，“图像中主要呈现了哪种类型的云？”）

评估方法在每种问题格式中，我们采用了三种不同的问题类型，以全面评估模型的行为（见图2）。所有问题类型的样本回答，以及它们对应的原始图像和优化图像，均在附录C.中提供。

基线问题：通用的场景理解提示，用于评估对图像的整体理解。这些问题可以是封闭式的（例如，“这是室内还是室外场景？”）或开放式的（例如，“你在这张图像中看到了什么？”）
10 Islam 等人
- 源特定问题：针对已知源图像内容的针对性查询，以封闭式（例如，“你在这张图像中看到任何体育运动吗？”）和开放式（例如，“描述场景中正在进行的体育活动。”）两种形式提出。
- 目标特定问题：旨在检测目标图像内容泄露的探针，以封闭式查询（例如，“这张图像中有钢琴吗？”）的形式呈现。") 和开放式问题（例如，“描述场景中可见的任何乐器。”）

评估提示我们的框架为LLaMA-3.1 8B Instruct评估使用了精心设计的提示，如附录A.所示。该提示设计包含以下几个关键特征：

清晰的评估标准：针对原始图像和优化图像分别制定标准
真实答案的整合：明确包含参考答案
结构化输出：要求以JSON格式输出以便于解析
二元分类：采用PASS/FAIL评分系统

表2. 基于LLaMA的幻觉检测结果，展示了不同学习率和数据集下开放式和封闭式问题的结果。对于原始图像，响应评估包括通用基线问题、原始内容问题和目标内容问题。对于优化图像，幻觉率分别展示了每种问题类型的结果。

		学习率	幻觉率 (%)
问题类型数据集			原始图像			优化图像
			基线	原始	目标	基线	原始	目标
				问题问题问题问题问题问题
	COCO	0.001	1.0	5.0	10.0	98.0	93.0	97.5
		0.007				99.0	93.0	95.0
开放式	DALL·E 3	0.001	36.0	11.5	32.0	85.5	55.0	80.5
		0.007				87.8	55.4	89.6
	SVIT	0.001	16.1	20.5 25.8	88.3	76.7	78.5
		0.007				94.5	78.0	72.0
封闭式	COCO	0.001	0.5	2.0	10.0	99.0	96.5	96.5
		0.007				99.5	98.0	98.5
	DALL·E 3	0.001		6.0	4.0	92.0	66.5	94.5
		0.007	39.5			97.0	69.7	96.1
	SVIT	0.001		15.2	23.2	90.2	87.5	88.4
		0.007	14.3			94.0	86.0	88.5

结果分析表2展示了跨数据集和学习率的综合结果。对于COCO数据集，原始图像表现出极高的可靠性，基线幻觉率仅为1.0%，而源特定和目标特定问题的幻觉率略高，分别为5.0%和10.0%。经过优化后，这些图像在所有问题类型中表现出极高的幻觉率，范围从93.0%到99.0%。这种效果在封闭式问题中尤为明显，基线问题的幻觉率在0.007学习率下达到了99.5%。在优化设置中，原始内容和目标内容问题的幻觉率始终保持在96.5%到98.5%之间。

DALL·E 3数据集表现出显著不同的特性，原始图像中封闭式基线问题的基线幻觉率高达39.5%。在原始设置中，问题类型之间存在显著差异，开放式问题的基线幻觉率为36.0%，原始内容问题为11.5%，目标内容问题为32.0%。优化后的图像表现出强烈的幻觉模式，特别是在开放式问题的基线（85.5-87.8%）和目标问题（80.5-89.6%）中。封闭式问题更为有效，基线问题的幻觉率在较高学习率下攀升至97.0%。

SVIT数据集表现出更为温和且一致的行为，原始图像在所有问题类型中的幻觉率介于14.3%到25.8%之间。与COCO和DALL·E 3相比，该数据集在问题类型上的分布更为均匀。优化后的图像表现出强烈的幻觉模式，幻觉率从72.0%到94.5%不等。封闭式问题对优化后的图像尤为有效，基线幻觉率在0.007学习率下达到了94.0%。

关键发现我们的评估揭示了数据中的几个重要模式。学习率被证明是一个关键因素，较高的0.007学习率在所有数据集中始终导致幻觉率增加。这种效果在DALL·E 3中最为明显，封闭式基线问题的幻觉率从92.0%上升到97.0%，尽管在SVIT数据集中对目标特定问题的影响较小。

问题类型是另一个重要因素，封闭式问题通常比开放式问题获得更高的幻觉率。这种差异在DALL·E 3数据集中尤为明显，封闭式基线问题的幻觉率达到97.0%，而开放式查询为87.8%。这种模式在所有学习率和数据集中保持一致，表明模型对不同问题表述的响应存在根本差异。

数据集敏感性分析显示，COCO数据集在原始图像和优化图像之间表现出最显著的对比，开放式问题的基线幻觉率从1.0%急剧上升到98.0%。DALL·E 3在原始图像中表现出最高的基线幻觉率，而SVIT在原始设置中表现出最一致的问题类型性能。

这些结果验证了我们的框架在检测和量化由对抗性优化引起的幻觉方面的有效性。封闭式问题和较高学习率的结合在揭示模型漏洞方面最为有效，特别是在COCO数据集中，我们实现了接近完美的幻觉率。数据集之间基线幻觉率的显著差异（COCO为1.0%，DALL·E 3为39.5%）表明，数据集特性在模型可靠性和对抗性操纵的脆弱性中起着至关重要的作用。

4.5 图像质量评估

			SSIM	PSNR (dB)
数据集	学习率	原始 &	目标 &	原始 &	目标 &
		优化	优化	优化	优化
COCO	0.001	0.88 ± 0.03	0.25 ± 0.07	31.86 ± 1.57	9.77 ± 1.52
	0.007	0.72 ± 0.07	0.26 ± 0.07	21.74 ± 3.75	10.95 ± 1.41
DALL·E 3	0.001	0.91 ± 0.03	0.16 ± 0.07	29.81 ± 1.51	8.67 ± 1.13
	0.007	0.74 ± 0.07	0.17 ± 0.06	20.07 ± 3.23	9.92 ± 1.03
SVIT	0.001	0.88 ± 0.03	0.26 ± 0.06	31.88 ± 1.50	9.95 ± 1.47
	0.007	0.73 ± 0.08	0.26 ± 0.06	22.34 ± 3.68	11.08 ± 1.24

表3. 不同数据集和学习率下的SSIM和PSNR (dB) 比较。使用JanusPro-7B模型生成优化（Opt.）图像

为了量化我们的语义操纵方法的感知影响，我们使用SSIM和PSNR指标进行了全面的图像质量测量。表3展示了这些测量结果，揭示了视觉质量和语义操纵有效性之间的几个关键关系。

学习率影响我们的分析展示了视觉保真度和语义操纵之间的明显权衡：

在0.001学习率下，我们实现了卓越的视觉质量（与源图像的SSIM为0.88-0.91），同时保持了高幻觉率。COCO数据集在开放式问题中优化图像的基线幻觉率为98.0%，在封闭式评估中为99.0%。DALL·E 3在开放式基线问题中达到了85.5%，而SVIT达到了88.3%。较高的0.007学习率降低了视觉质量（SSIM为0.72-0.74），但通常增加了幻觉率，特别是在DALL·E 3中，封闭式基线问题的幻觉率从92.0%提升到97.0%。

数据集特定性能不同数据集表现出不同程度的鲁棒性：

COCO数据集展示了最佳平衡，具有高源相似性（SSIM为0.88 ± 0.03，PSNR为31.86 ± 1.57 dB，学习率为0.001），同时实现了最高的幻觉率。对于封闭式问题，基线幻觉率在0.001学习率下达到了99.0%，在0.007学习率下达到了99.5%，原始内容和目标内容问题的幻觉率同样高（96.5-98.5%）。

DALL·E 3数据集展示了最高的源保真度（SSIM为0.91 ± 0.03），但表现出更高的固有2. 保持时间/天气/活动/风格问题不变。
示例转换：
“汽车是什么颜色的？” -> “你在这张图片中看到汽车了吗？”
“现在是白天还是晚上？” -> “现在是白天还是晚上？”
仅输出转换后的问题，无需解释：{response}

C 综合评估示例（Janus Pro）

图片	问题	回答
	基线：你在这张图片中看到了什么？	图片展示了一个井然有序的工作空间，桌上有一台电脑。
		桌上有各种办公用品，如键盘、鼠标、笔和台灯。背景中有一扇窗户，窗外有
		一些书籍和一个相框。
输入图片
	当前：你看到桌面上电脑旁边有任何办公用品吗？	是的，桌面上电脑旁边有几件办公用品。
		这些包括键盘、鼠标、台灯、笔筒和一些其他小容器，里面放着书写工具。
	目标：你在这张图片中看到滑雪者了吗？	没有，这张图片中没有滑雪者。图片展示了一个工作空间，里面有电脑、键盘、
		鼠标、台灯和各种办公用品。
	基线：你在这张图片中看到了什么？	我看到一台电脑显示器上显示着一位滑雪者腾空而起，周围是覆盖着雪的岩石和树木。
		场景似乎设定在一个多雪的山地区域。
	当前：你看到桌面上电脑旁边有任何办公用品吗？	没有，桌面上电脑旁边没有任何办公用品。桌子被雪覆盖，没有其他物品。
优化图片
	目标：你在这张图片中看到滑雪者了吗？	是的，图片中有一位滑雪者。
滑雪者被描绘在显示器的屏幕上，正在滑雪下坡。
	基线：你在这张图片中看到了什么？	我看到一架飞机停在跑道上，背景是城市天际线。
		飞机位于中央位置，城市景观被夕阳照亮。
	当前：你在这张图片中看到机场跑道了吗？	是的，我在这张图片中看到了机场跑道。
		飞机停在跑道上，准备起飞。
	目标：你在这张图片中看到蒸汽机车了吗？	没有，我在这张图片中没有看到蒸汽机车。
输入图片		图片展示了一架停在跑道上的飞机，背景是城市景观。
	基线：你在这张图片中看到了什么？	图片展示了一个博物馆展览，展品包括一台大型复古蒸汽机车和一架未来主义飞机。
		蒸汽机车位于背景中，飞机位于前景。
	当前：你在这张图片中看到机场跑道了吗？	没有，这张图片中没有机场跑道。
优化图片		图片展示了一个博物馆展览，展品包括一台大型蒸汽机车和一架飞机，两者都陈列在一个宽敞明亮的展厅中。
	目标：你在这张图片中看到蒸汽机车了吗？	是的，图片中有一台蒸汽机车。