У боротьбі за ідентифікацію контенту, створеного штучним інтелектом, спалахнув новий скандал. Один розробник ПЗ стверджує, що йому вдалося провести зворотну розробку SynthID – складної системи водяних знаків від Google DeepMind, призначеної для маркування медіафайлів, створених ІІ. Незважаючи на те, що розробник відкрито опублікував результати свого дослідження, Google наполягає на тому, що система залишається надійною та ефективною.
Прорив: як «Aloshdenny» зламав код
Розробник під псевдонімом Aloshdenny опублікував на GitHub та Medium опис методу, що дозволяє ідентифікувати та маніпулювати невидимими водяними знаками Google. На відміну від багатьох високорівневих експлойтів цей підхід не вимагав величезних обчислювальних потужностей або доступу до пропрієтарного коду Google. Натомість він спирався на грамотну обробку сигналів та використання великого набору даних зображень, створених моделлю Gemini.
Згідно з описом розробника, процес включав наступне:
– Аналіз “порожніх” зображень: Генеруючи сотні “чисто чорних” або “чисто білих” зображень через Gemini, розробник виявив, що водяний знак все одно присутній у даних пікселів.
– Вилучення сигналу: Шляхом підвищення контрастності та шумоподавлення цих зображень патерни водяного знака стали помітні у вигляді математичних сигналів.
– Частотне картування: Розробник усереднив ці патерни, щоб визначити конкретну «амплітуду та фазу» водяного знака на різних частотах.
– Створення перешкод: Як тільки сигнал був вивчений, розробник зміг шукати ці специфічні частоти в інших зображеннях, щоб частково порушити їхню роботу.
Що таке SynthID і чому це важливо?
Щоб зрозуміти масштаб проблеми, потрібно розібратися у самій технології. SynthID – це інструмент для нанесення “майже невидимих” водяних знаків. Замість того, щоб додавати видимий логотип, він вбудовує цифровий підпис безпосередньо в пікселі зображення в момент його створення.
Ця технологія критично важлива з кількох причин:
– Боротьба з дипфейками: Вона дає можливість відрізнити реальну фотографію від зображення, створеного ІІ.
– Походження контенту: Вона допомагає таким платформам, як YouTube, відстежувати синтетичні копії авторів та інші види синтетичного медіа.
– Відповідальність: Вона дозволяє розробникам зберігати цифровий слід того, що виробляють їх моделі.
Мета подібних систем рідко полягає у створенні «незламного» щита; скоріше завдання полягає в тому, щоб «підвищити вартість зловживання». Якщо для видалення водяного знака потрібні глибокі математичні знання та значні зусилля, більшість звичайних користувачів побояться намагатися його обійти.
Вердикт: вразливість системи чи тріумф інженерії?
Результати цього експерименту неоднозначні. Aloshdenny визнає, що йому не вдалося «видалити» водяний знак повністю. Натомість метод дозволив заплутати декодери — інструменти для читання водяних знаків — змушуючи їх давати збій або припиняти сканування зображення.
Google поспішив спростувати ці заяви. У коментарі для The Verge прес-секретар Міріам Хан заявила:
Невірно стверджувати, що цей інструмент може систематично видаляти водяні знаки SynthID. SynthID – це надійний та ефективний інструмент маркування контенту, створеного ІІ».
Широкий контекст
Цей інцидент підкреслює «гонку озброєнь», що триває, між розробниками ІІ і тими, хто прагне обійти захисні бар’єри. У міру того, як моделі ІІ стають все більш здатними створювати гіперреалістичний контент, методи маркування цього контенту повинні постійно еволюціонувати.
Хоча метод Aloshdenny поки не є інструментом “в один клік” для широкої публіки, він демонструє, що навіть невидимі, математично вбудовані водяні знаки вразливі для цілеспрямованого аналізу сигналів.
Висновок
Незважаючи на запевнення Google у безпеці SynthID, можливість порушити механізм його виявлення доводить, що жоден цифровий водяний знак не є по-справжньому невразливим. Цей випадок наголошує, наскільки складно підтримувати постійне та надійне підтвердження походження контенту в епоху стрімкого розвитку синтетичних медіа.
