SynthID-Wasserzeichen umgehen: Technische Analyse des Angriffs auf Googles KI-Kennzeichnung
Entwickler Alosh Denny hat eine Methode demonstriert, um unsichtbare SynthID-Wasserzeichen zu entfernen, die Google einsetzt, um Bilder zu identifizieren, die vom Gemini-Modell generiert wurden. Sein Ansatz täuscht den offiziellen SynthID-Detektor und bringt das System dazu, ein gefälschtes Bild als original zu behandeln. Dies wirft Zweifel an der Zuverlässigkeit aktueller Lösungen zur Kennzeichnung generativer Inhalte auf.
So funktioniert SynthID und seine Schwachstellen
SynthID ist Googles digitales Wasserzeichen-System, das in Bildern eingebettet wird, die über Gemini erstellt wurden. Im Gegensatz zu herkömmlichen Wasserzeichen ist das Markierungszeichen für Nutzer unsichtbar und wird nicht in EXIF oder anderen Metadaten gespeichert. Stattdessen wird es in die Pixelwerte auf einer für Menschen unmerklichen Ebene kodiert, die jedoch von einem spezialisierten Detektor erkannt werden kann.
Ein zentrales Merkmal von SynthID ist die Verteilung des Signals über die Frequenzkomponenten des Bildes, mit Schwerpunkt auf dem grünen Farbkanal. Dadurch ist das Wasserzeichen gegenüber einfachen Manipulationen (wie JPEG-Neukompression) robust, eröffnet aber einen potenziellen Angriffsvektor: Wenn ein Angreifer die Frequenzmuster des Wasserzeichens identifizieren kann, kann er diese umkehren oder unterdrücken.
Reverse-Engineering der Wasserzeichen
Zur Analyse verwendete Alosh Denny zwei Testbilder: vollständig schwarz und vollständig weiß. Die Verarbeitung durch Gemini ergab „saubere“ Träger mit reinem Rauschen und dem SynthID-Wasserzeichen, ohne semantischen Inhalt. So konnte das Wasserzeichen-Signal vom visuellen Inhalt isoliert werden.
Eine spektrale Analyse (insbesondere die 2D diskrete Kosinustransformation) deckte charakteristische Frequenzkoordinaten mit der höchsten Wasserzeichen-Konzentration auf. Es stellte sich heraus, dass der Hauptanteil vom grünen Kanal im RGB-Raum kommt.
Basierend auf diesen Daten wurde ein Wörterbuch der Frequenzpositionen für bestimmte Auflösungen erstellt:
- 1024 × 1024 Pixel — Standardauflösung für viele generative Modelle.
- 1536 × 2816 Pixel — Hochformat, das oft in Mobile-Apps verwendet wird.
Wichtig: Da SynthID die Wasserzeichen-Positionen an die Auflösung anpasst, gibt es keine universelle Lösung — für jede Größe ist ein separates Profil erforderlich.
Algorithmus zur Wasserzeichen-Entfernung
Der Entfernungsprozess umfasst diese Schritte:
- Transformation des Bildes in den Frequenzbereich (z. B. via DCT).
- Identifizierung der Ziel-Frequenzen basierend auf dem vorgefertigten Wörterbuch.
- Umkehrung oder Unterdrückung der Signalamplitude an diesen Frequenzen.
- Rücktransformation in den räumlichen Bereich.
Entscheidend ist die Erhaltung der Niedrigfrequenzkomponenten, die für die Gesamtstruktur und Komposition des Bildes verantwortlich sind. Der Autor gibt an, dass seine Methode Verzerrungen minimiert: Nach der Verarbeitung bleibt der PSNR (Spitzen-Signal-zu-Rausch-Verhältnis) bei 43 dB, was bedeutet, dass Änderungen für das menschliche Auge praktisch unmerklich sind.
Auswirkungen auf das Ökosystem generativer Inhalte
Dieser erfolgreiche Angriff auf SynthID beleuchtet ein grundlegendes Problem aller unsichtbaren Wasserzeichen: Wenn der Detektionsalgorithmus öffentlich oder rückführbar ist, wird früher oder später ein Bypass gefunden. Dies ist besonders relevant angesichts des zunehmenden AI-Content-Betrugs — von Fake News über gefälschte Bewertungen bis hin zu Produktfotos.
Google hat noch keine aktualisierte SynthID-Version mit Schutz vor solchen Angriffen veröffentlicht. Experten schlagen jedoch Maßnahmen vor, um die Robustheit zu erhöhen:
- Adaptive, inhaltsabhängige Markierungen.
- Verschlüsselung der Frequenzpositionen mit einem geheimen Schlüssel.
- Kombination mehrerer Markierungsmethoden (z. B. Metadaten + Pixelebene + Blockchain-Register).
Vorläufig ist jeder Dienst, der ausschließlich auf den SynthID-Detektor setzt, anfällig für solche Manipulationen.
Wichtige Erkenntnisse
- SynthID verwendet ein unsichtbares frequenzbasiertes Markierungszeichen, hauptsächlich im grünen Kanal.
- Der Angriff basiert auf Reverse-Engineering durch Analyse sauberer Bilder (schwarzer/weißer Hintergrund).
- Entfernung ist nur bei bekannter Bildauflösung möglich — erfordert ein Profil pro Größe.
- Bildqualität nach Verarbeitung bleibt hoch (PSNR ≈ 43 dB).
- Die aktuelle SynthID-Implementierung fehlt an kryptographischem Schutz für das Signal.
— Editorial Team
Noch keine Kommentare.