Wodna zapora przeciw deepfake’om pęka – nowe badanie podważa skuteczność znaków wodnych

Wraz z dynamicznym rozwojem sztucznej inteligencji, generowanie obrazów i filmów fotorealistycznych stało się codziennością. Niestety, potencjał tej technologii budzi również poważne obawy w kontekście manipulacji treścią, określanej mianem deepfake’ów. Wpływ na politykę, system prawny i życie codzienne jest coraz bardziej widoczny, a społeczeństwo poszukuje skutecznych metod weryfikacji autentyczności.

Firmy technologiczne, takie jak OpenAI, Meta i Google, proponowały dotychczas niewidzialne znaki wodne jako rozwiązanie problemu. Zakładano, że te ukryte sygnatury pozwolą na opracowanie narzędzi, które z dużą precyzją odróżnią treści generowane przez AI od prawdziwych zdjęć czy nagrań, jednocześnie nie ujawniając samej natury zastosowanych zabezpieczeń.

Jednak zespół badawczy z Uniwersytetu Waterloo, kierowany przez Andre Kassisa, doktoranta informatyki, opracował narzędzie o nazwie UnMarker. Jego możliwości podważają całą koncepcję. UnMarker potrafi skutecznie usuwać znaki wodne bez potrzeby posiadania wiedzy o sposobie ich kodowania, a nawet bez świadomości ich istnienia. Co istotne, jest to pierwsze praktyczne i uniwersalne narzędzie zdolne do takich działań w realistycznych scenariuszach.

„Ludzie potrzebują sposobu na weryfikację tego, co jest prawdziwe, a co nie, ponieważ szkody będą ogromne, jeśli nie będziemy w stanie tego zrobić” – podkreśla Kassis. „Od oszczerczych kampanii politycznych po pornografię bez zgody, ta technologia może mieć straszne i daleko idące konsekwencje”.

Mechanizm ataku na niewidzialne zabezpieczenia

UnMarker działa w oparciu o statystyczną analizę obrazu. Jak wyjaśnia doktor Urs Hengartner, profesor nadzwyczajny z David R. Cheriton School of Computer Science na Uniwersytecie Waterloo, aby znaki wodne były niewidoczne dla ludzkiego oka i jednocześnie odporne na manipulacje (np. kadrowanie, zmianę rozdzielczości), muszą operować w domenie spektralnej obrazu. Oznacza to, że subtelnie manipulują rozkładem intensywności pikseli.

UnMarker wyszukuje w obrazie miejsca, gdzie występują nietypowe częstotliwości pikseli, a następnie zniekształca je. Efektem jest obraz, który dla narzędzi rozpoznających znaki wodne staje się nierozpoznawalny, jednocześnie pozostając niezauważalnie zmieniony dla nieuzbrojonego oka. W przeprowadzonych testach metoda ta okazała się skuteczna w ponad 50% przypadków, niezależnie od modelu AI – obejmując nawet takie systemy jak Google SynthID i Meta Stable Signature. Co kluczowe, nie wymagała wiedzy o pochodzeniu obrazu ani zastosowanych metodach znakowania wodnego.

Implikacje dla wiarygodności cyfrowej

„Jeśli my potrafimy to zrobić, potrafią to również złośliwi aktorzy” – ostrzega Kassis. „Znaki wodne są promowane jako idealne rozwiązanie, ale pokazaliśmy, że ta technologia jest podatna na ataki. Deepfake’i nadal stanowią ogromne zagrożenie. Żyjemy w erze, w której nie można już w pełni ufać temu, co widzimy”.

Wyniki badań sugerują, że poleganie wyłącznie na znakach wodnych jako mechanizmie obrony przed deepfake’ami jest niebezpiecznym uproszczeniem. Praca „UnMarker: A Universal Attack on Defensive Image Watermarking” została opublikowana w materiałach 46. Sympozjum IEEE poświęconego Bezpieczeństwu i Prywatności. Wskazuje to na pilną potrzebę opracowania bardziej zaawansowanych i odpornych mechanizmów weryfikacji autentyczności w dynamicznie zmieniającym się krajobrazie treści cyfrowych.