Один разработчик программного обеспечения утверждает, что он с помощью обратной инженерии взломал систему SynthID от Google DeepMind, показав, как можно удалять водяные знаки ИИ из сгенерированных изображений или вручную вставлять их в другие работы. По словам Google, это утверждение неверно.

Фото

Разработчик, известный под именем пользователя Aloshdenny, выложил свою работу в открытый доступ на GitHub и задокументировал процесс, утверждая, что для этого потребовалось всего лишь 200 изображений, созданных Gemini, обработка сигналов и «слишком много свободного времени». Немного марихуаны тоже, похоже, помогло.
«Никаких нейронных сетей. Никакого проприетарного доступа», — сказал Aloshdenny на Medium. «Оказывается, если вы безработный и усредняете достаточно ‘чисто чёрных’ изображений, созданных ИИ, каждый ненулевой пиксель буквально является водяным знаком, который смотрит на вас.»

SynthID — это почти невидимая система водяных знаков, которая маркирует контент, созданный инструментами ИИ Google, внедряясь в пиксели изображений на этапе их создания. Она разработана так, чтобы её было трудно удалить без ухудшения качества изображения, и широко используется во всех продуктах Google с ИИ — всё, что создают модели вроде Nano Banana и Veo 3, содержит водяные знаки SynthID, и они даже применяются к ИИ-клонам создателей на YouTube.

Aloshdenny утверждает, что система является «по-настоящему хорошим инженерным решением», и всё же ему не удалось полностью удалить SynthID в тестах, вместо этого он полагался на запутывание декодеров SynthID, которые пытаются считывать изображения с водяными знаками.

Процесс, использованный для взлома механики водяного знака Google, технически сложен для тех, кто не является разработчиком. Если вам интересно, вы можете прочитать полный разбор на странице Aloshdenny в Medium (которая, судя по всему, была написана, пока он был «под кайфом»), но вот упрощённое объяснение:

• Сгенерируйте 200 полностью чёрных или чисто белых изображений с помощью Gemini. Увеличьте контраст и насыщенность, затем уменьшите шум в насыщенности, чтобы выявить узоры водяного знака.
• Усредните узоры, чтобы найти амплитуду и фазу сигнала водяного знака в каждом частотном диапазоне по каналам.
• Ищите следы этих частот в изображениях и частично удаляйте их под тем же углом, под которым они были вставлены при генерации.

«Тот факт, что лучшее, чего я смог добиться, — это настолько запутать декодер, что он сдаётся, а не реально удалить водяной знак, говорит о том, насколько хорошо он был разработан», — говорит Aloshdenny. «Это не идеально. Но оно и не пытается быть непробиваемым. Оно пытается сделать стоимость неправильного использования настолько высокой, что большинство людей просто не будут этим заниматься.»

Я не пробовал проект Aloshdenny, который исследует систему водяных знаков SynthID от Google с помощью обратной инженерии, поэтому не могу подтвердить его эффективность. Тем не менее, на данный момент не похоже, что SynthID был полностью взломан — по крайней мере не до такой степени, чтобы начинающие хакеры могли скачать инструмент и удалять (или добавлять) водяные знаки Google для обмана систем обнаружения ИИ. Google также не считает, что утверждения Aloshdenny верны.

«Неверно говорить, что этот инструмент может систематически удалять водяные знаки SynthID», — сказала представитель Google Мириам Хан в интервью The Verge. «SynthID — это надёжный и эффективный инструмент водяных знаков для контента, созданного ИИ.»