Anonimowy deweloper twierdzi, że rozpracował stworzony przez Google DeepMind mechanizm działania systemu znakowania treści AI. Firma stanowczo zaprzecza, podkreślając, że jej technologia pozostaje odporna na takie próby.
Użytkownik działający pod pseudonimem Aloshdenny opublikował na GitHubie projekt, w którym opisuje próbę odwrócenia działania systemu SynthID. To rozwiązanie służy do oznaczania obrazów generowanych przez modele sztucznej inteligencji, takie jak Gemini, poprzez niewidoczny dla oka znak wodny osadzony bezpośrednio w pikselach.
Według autora opracowania, do analizy wystarczyło około 200 wygenerowanych obrazów, podstawowe techniki przetwarzania sygnałów i czas. Jak podkreśla, proces nie wymagał wykorzystania sieci neuronowych ani dostępu do zastrzeżonych technologii.
Jak działa znak wodny Google’a?
SynthID został zaprojektowany jako system trudny do usunięcia bez zauważalnego pogorszenia jakości obrazu. Znak wodny nie jest widoczny gołym okiem, ale może być wykryty przez specjalne algorytmy analizujące strukturę pikseli.
Technologia ta jest szeroko stosowana w produktach Google opartych na AI. Oznaczenia trafiają do treści generowanych przez modele wizualne i wideo, a także do syntetycznych postaci twórców wykorzystywanych na platformach takich jak YouTube.
Na czym polega jego rzekome złamanie?
Według opisu autora, cały proces opiera się na analizie sygnału ukrytego w obrazach wygenerowanych przez Gemini. Najpierw wygenerował on kilkaset niemal jednolitych obrazów – całkowicie czarnych lub białych – które następnie poddał obróbce polegającej na zwiększeniu kontrastu i nasycenia oraz redukcji szumu w kanałach kolorów. Taki zabieg miał uwidocznić powtarzalne wzorce, które nie pochodzą z samego obrazu, lecz z osadzonego znaku wodnego.
Kolejnym krokiem było uśrednienie tych wzorców w dziedzinie częstotliwości, co pozwoliło oszacować charakterystyczne parametry sygnału – jego amplitudę i fazę – dla poszczególnych kanałów obrazu. Na tej podstawie autor próbował identyfikować obecność tych samych częstotliwości w innych grafikach, a następnie częściowo je tłumić, manipulując nimi pod odpowiednim kątem, zbliżonym do tego, w którym miały zostać pierwotnie osadzone.
Efektem nie było jednak całkowite usunięcie znaku wodnego, lecz raczej jego osłabienie – na tyle, by zmylić narzędzia detekcyjne próbujące odczytać SynthID. Innymi słowy, opracowana metoda pozwala jedynie zakłócić działanie oprogramowania wykrywającego oznaczenie, tak aby przestały poprawnie je odczytywać.
W praktyce oznacza to, że znak wodny nadal pozostaje w obrazie, ale może być trudniejszy do wykrycia przez automatyczne systemy. Co istotne, według autora świadczy to raczej o solidności samego rozwiązania niż o jego słabości.
Google: to nie działa tak, jak twierdzi autor
Stanowisko Google jest jednoznaczne. Przedstawicielka firmy, Myriam Khan, podkreśliła, że twierdzenia o skutecznym usuwaniu znaków wodnych są nieprawdziwe.
Firma utrzymuje, że SynthID pozostaje „solidnym i skutecznym” narzędziem do oznaczania treści generowanych przez AI, a według giganta opublikowany projekt nie umożliwia systematycznego usuwania tych oznaczeń.
Sprawa wpisuje się w szerszy kontekst rosnącego znaczenia znakowania treści generowanych przez sztuczną inteligencję. Systemy takie jak SynthID mają przeciwdziałać dezinformacji i ułatwiać identyfikację materiałów wygenerowanych przez AI.
Jednocześnie każda próba obejścia tych zabezpieczeń pokazuje, że trwa technologiczny wyścig między twórcami systemów detekcji a osobami próbującymi je obejść. Na razie jednak nic nie wskazuje na to, by zabezpieczenia Google’a zostały faktycznie przełamane w sposób, który miałby praktyczne zastosowanie na szeroką skalę.
0 komentarzy