绕过 SynthID 水印:剖析谷歌 AI 内容标记的攻击技术
开发者 Alosh Denny 展示了一种移除 Google 用于识别 Gemini 模型生成图像的不可见 SynthID 水印的方法。他的方法欺骗了官方 SynthID 检测器,让系统将假图像视为原图。这让当前生成内容标记解决方案的可靠性蒙上阴影。
SynthID 的工作原理及其漏洞
SynthID 是 Google 通过 Gemini 创建图像中嵌入的数字水印系统。与传统水印不同,该标记对用户不可见,也不存储在 EXIF 或其他元数据中。相反,它编码到像素值中,人类不可察觉,但专用检测器可检测。
SynthID 的一个关键特性是将信号分布在图像的频率分量中,强调绿色通道。这使得标记对简单操作(如 JPEG 重新压缩)具有弹性,但也创造了一个潜在攻击向量:如果攻击者能识别水印的频率模式,就可以反转或抑制它们。
逆向工程水印
为了分析,Alosh Denny 使用了两张测试图像:全黑和全白。将它们通过 Gemini 处理,生成仅含噪声和 SynthID 水印的“干净”载体,没有任何语义内容。这隔离了水印信号与视觉内容。
频谱分析(具体为二维离散余弦变换)揭示了水印浓度最高的特征频率坐标。结果显示,主要贡献来自 RGB 空间的绿色通道。
基于此数据,为特定分辨率编制了频率位置字典:
- 1024 × 1024 像素 — 许多生成模型的标准分辨率。
- 1536 × 2816 像素 — 移动应用中常用的竖屏格式。
重要:由于 SynthID 根据分辨率调整水印位置,没有通用解决方案——每个尺寸需要单独配置文件。
水印移除算法
移除过程包括这些步骤:
- 将图像变换到频率域(例如,通过 DCT)。
- 根据预收集字典识别目标频率。
- 在这些频率反转或抑制信号幅度。
- 逆变换回空间域。
关键是保留负责图像整体结构和组成的低频分量。作者声称他的方法最小化了失真:处理后,PSNR(峰值信噪比)保持在 43 dB,意味着变化对人眼几乎不可察觉。
对生成内容生态的影响
这次对 SynthID 的成功攻击突显了所有不可见水印的根本问题:如果检测算法公开或可逆,总会被找到绕过方法。这在 AI 内容欺诈上升的背景下尤为相关——从假新闻到虚假评论和产品图像。
Google 尚未发布针对此类攻击的更新 SynthID 版本。然而,专家建议增强弹性的方法:
- 自适应、内容相关的标记。
- 使用密钥加密频率位置。
- 结合多种标记方法(例如,元数据 + 像素级 + 区块链登记)。
目前,任何仅依赖 SynthID 检测器的服务都易受这些操纵影响。
关键要点
- SynthID 使用基于频率的不可见标记,主要在绿色通道。
- 攻击依赖于通过分析干净图像(黑/白背景)的逆向工程。
- 移除仅在已知图像分辨率下可能——每个尺寸需要配置文件。
- 处理后图像质量保持高(PSNR ≈ 43 dB)。
- 当前 SynthID 实现缺乏信号的加密保护。
— Editorial Team
暂无评论。