В борьбе за идентификацию контента, созданного искусственным интеллектом, вспыхнул новый скандал. Один разработчик ПО утверждает, что ему удалось провести обратную разработку SynthID — сложной системы водяных знаков от Google DeepMind, предназначенной для маркировки медиафайлов, созданных ИИ. Несмотря на то, что разработчик открыто опубликовал результаты своего исследования, Google настаивает на том, что система остается надежной и эффективной.
Прорыв: как «Aloshdenny» взломал код
Разработчик под псевдонимом Aloshdenny опубликовал на GitHub и Medium описание метода, позволяющего идентифицировать и манипулировать невидимыми водяными знаками Google. В отличие от многих высокоуровневых эксплойтов, этот подход не требовал огромных вычислительных мощностей или доступа к проприетарному коду Google. Вместо этого он опирался на грамотную обработку сигналов и использование обширного набора данных изображений, созданных моделью Gemini.
Согласно описанию разработчика, процесс включал в себя следующее:
— Анализ «пустых» изображений: Генерируя сотни «чисто черных» или «чисто белых» изображений через Gemini, разработчик обнаружил, что водяной знак всё равно присутствует в данных пикселей.
— Извлечение сигнала: Путем повышения контрастности и шумоподавления этих изображений паттерны водяного знака стали различимы в виде математических сигналов.
— Частотное картирование: Разработчик усреднил эти паттерны, чтобы определить конкретную «амплитуду и фазу» водяного знака на различных частотах.
— Создание помех: Как только сигнал был изучен, разработчик смог искать эти специфические частоты в других изображениях, чтобы частично нарушить их работу.
Что такое SynthID и почему это важно?
Чтобы понять масштаб проблемы, нужно разобраться в самой технологии. SynthID — это инструмент для нанесения «почти невидимых» водяных знаков. Вместо того чтобы добавлять видимый логотип, он встраивает цифровую подпись непосредственно в пиксели изображения в момент его создания.
Эта технология критически важна по нескольким причинам:
— Борьба с дипфейками: Она дает возможность отличить реальную фотографию от изображения, созданного ИИ.
— Происхождение контента: Она помогает таким платформам, как YouTube, отслеживать синтетические копии авторов и другие виды синтетического медиа.
— Ответственность: Она позволяет разработчикам сохранять цифровой след того, что производят их модели.
Цель подобных систем редко заключается в создании «несокрушимого» щита; скорее, задача состоит в том, чтобы «повысить стоимость злоупотребления». Если для удаления водяного знака требуются глубокие математические знания и значительные усилия, большинство обычных пользователей побоятся пытаться его обойти.
Вердикт: уязвимость системы или триумф инженерии?
Результаты этого эксперимента неоднозначны. Aloshdenny признает, что ему не удалось «удалить» водяной знак полностью. Вместо этого метод позволил запутать декодеры — инструменты, используемые для чтения водяных знаков, — заставляя их давать сбой или прекращать сканирование изображения.
Google поспешил опровергнуть эти заявления. В комментарии для The Verge пресс-секретарь Мириам Хан заявила:
«Неверно утверждать, что этот инструмент может систематически удалять водяные знаки SynthID. SynthID — это надежный и эффективный инструмент маркировки контента, созданного ИИ».
Широкий контекст
Данный инцидент подчеркивает продолжающуюся «гонку вооружений» между разработчиками ИИ и теми, кто стремится обойти защитные барьеры. По мере того как модели ИИ становятся всё более способными создавать гиперреалистичный контент, методы маркировки этого контента должны постоянно эволюционировать.
Хотя метод Aloshdenny пока не является инструментом «в один клик» для широкой публики, он демонстрирует, что даже невидимые, математически встроенные водяные знаки уязвимы для целенаправленного анализа сигналов.
Заключение
Несмотря на заверения Google в безопасности SynthID, возможность нарушить механизм его обнаружения доказывает, что ни один цифровой водяной знак не является по-настоящему неуязвимым. Этот случай подчеркивает, насколько сложно поддерживать постоянное и надежное подтверждение происхождения контента в эпоху стремительного развития синтетических медиа.
