Ein Softwareentwickler behauptet, Googles DeepMind SynthID-System durch Reverse Engineering geknackt zu haben und zeigt, wie KI-Wasserzeichen aus generierten Bildern entfernt oder manuell in andere Werke eingefügt werden können. Laut Google ist diese Behauptung jedoch nicht korrekt.

Foto

Der Entwickler, unter dem Benutzernamen Aloshdenny bekannt, hat seine Arbeit auf GitHub als Open Source veröffentlicht und seinen Prozess dokumentiert. Er behauptet, dass dafür lediglich 200 mit Gemini generierte Bilder, Signalverarbeitung und „viel zu viel Freizeit“ nötig waren. Ein wenig Gras schien ebenfalls zu helfen.
„Keine neuronalen Netze. Kein proprietärer Zugriff“, sagte Aloshdenny auf Medium. „Es stellt sich heraus, dass, wenn man arbeitslos ist und genügend ‘rein schwarze’ KI-generierte Bilder mittelt, jedes nicht-null Pixel buchstäblich nur das Wasserzeichen ist, das einen anstarrt.“

SynthID ist ein nahezu unsichtbares Wasserzeichensystem, das Inhalte kennzeichnet, die von Googles KI-Tools generiert werden, und sich bei der Erstellung in die Pixel der Bilder einbettet. Es wurde so entwickelt, dass es schwer zu entfernen ist, ohne die Bildqualität zu beeinträchtigen, und wird weit verbreitet in den von Google angebotenen KI-Produkten eingesetzt — alles, was von Modellen wie Nano Banana und Veo 3 ausgegeben wird, trägt SynthID-Wasserzeichen, und es wird sogar auf YouTubes KI-generierte Creator-Klone angewendet.

Aloshdenny sagt, er halte das System für „wirklich gute Ingenieurskunst“ und konnte SynthID in Tests dennoch nicht vollständig entfernen, sondern verließ sich stattdessen darauf, die SynthID-Decoder zu verwirren, die versuchen, wasserzeichenbehaftete Bilder zu lesen.

Der Prozess, der verwendet wurde, um die zugrunde liegende Mechanik von Googles Wasserzeichen zu entschlüsseln, ist für Nicht-Entwickler technisch komplex. Wenn Sie neugierig sind, können Sie die vollständige Analyse auf Aloshdennys Medium-Seite lesen (die offenbar geschrieben wurde, während Aloshdenny „high“ war), aber hier ist eine vereinfachte Erklärung:

• Generieren Sie 200 vollständig schwarze oder rein weiße Bilder mit Gemini. Erhöhen Sie den Kontrast und die Sättigung und reduzieren Sie dann das Rauschen in der Sättigung, um die Wasserzeichenmuster sichtbar zu machen.
• Mittelwert der Muster bilden, um die Amplitude und Phase des Wasserzeichensignals in jedem Frequenzbereich pro Kanal zu finden.
• Suchen Sie nach Spuren dieser Frequenzen in Bildern und entfernen Sie sie teilweise in dem Winkel, in dem sie während der Generierung eingefügt wurden.

„Die Tatsache, dass das Beste, was ich erreichen konnte, darin bestand, den Decoder so sehr zu verwirren, dass er aufgibt — nicht tatsächlich das Ding zu löschen — sagt viel darüber aus, wie gut es entworfen wurde“, sagt Aloshdenny. „Es ist nicht perfekt. Aber es versucht nicht, unzerbrechlich zu sein. Es versucht, die Kosten für Missbrauch so hoch zu halten, dass sich die meisten Leute nicht die Mühe machen.“

Ich habe Aloshdennys Projekt, das Googles SynthID-Wasserzeichensystem durch Reverse Engineering untersucht, nicht ausprobiert, daher kann ich nicht bestätigen, wie effektiv es tatsächlich ist. Dennoch scheint SynthID zum jetzigen Zeitpunkt nicht vollständig durch Reverse Engineering geknackt worden zu sein — zumindest nicht so weit, dass Script-Kiddies ein Tool herunterladen und Googles Wasserzeichen entfernen (oder hinzufügen) könnten, um KI-Erkennungssysteme zu täuschen. Google glaubt ebenfalls nicht, dass Aloshdennys Behauptungen zutreffen.

„Es ist falsch zu sagen, dass dieses Tool SynthID-Wasserzeichen systematisch entfernen kann“, sagte Google-Sprecherin Myriam Khan gegenüber The Verge. „SynthID ist ein robustes, effektives Wasserzeichentool für KI-generierte Inhalte.“