Более того, цифровые водяные знаки, обозначающие ИИ-изображение, удалось разместить и на контенте, который создал человек.
«Мы сломали их все», — говорит профессор Сохейл Фейзи из Университета Мэриленда. «На данный момент у нас нет надежных водяных знаков».
Фейзи и его коллеги исследовали, насколько легко злоумышленники могли бы удалять цифровые водяные знаки, в новой статье, которая еще не прошла рецензирование,
Подобно тому, как физические водяные знаки обрамляют деньги или марки для подтверждения подлинности, цифровые метки предоставляют пользователям информацию о происхождении изображения, видео и книг из Интернета — в частности, кто был их создателем (человек или технология).
Еще более актуальной технология стала с развитием искусственного интеллекта и распространением глубоких дипфейков — что еще больше тревожит на фоне президентских выборов в США (Дональд Трамп, например, поделился видео с клонированным ИИ голосом журналиста Андерсона Купера на своей социальной платформе Truth Social).
Цифровые водяные знаки – неплохая стратегия, но, судя по исследованию Фейзи (и другим экспериментам), не очень надежна.
«Установлено, что водяные знаки могут быть уязвимы для атак», — говорит Хани Фарид, профессор Школы информации Калифорнийского университета в Беркли.
В августе этого года исследователи из Калифорнийского университета в Санта-Барбаре и Университета Карнеги-Меллона написали еще одну статью, в которой поделились подобными результатами после проведения собственных экспериментальных атак.
«Все невидимые водяные знаки уязвимы», — пишут в статье.
Последнее исследование идет еще дальше: Фейзи и коллеги говорят, что некоторыми видами водяных знаков можно манипулировать, обозначая изображения людей, как созданные ИИ.
«Важно понимать, что никто не считает, что водяных знаков будет достаточно», — говорит Фарид. «Но надежные водяные знаки являются частью решения».
Он считает, что усовершенствование водяных знаков и дальнейшее их использование в сочетании с другими технологиями усложнит злоумышленникам процесс создания убедительных подделок.
Для ученых, включая профессора информатики Тома Голдштейна, такие исследования являются возможностью пересмотреть ожидания, возложенные на водяные знаки, а не причиной отказа от их использования как одного из многих инструментов аутентификации.
«Всегда найдутся опытные люди, которым удастся избежать обнаружения», — говорит Голдштейн. «Это нормально иметь систему, которая может обнаруживать лишь некоторые вещи».
Он рассматривает водяные знаки как способ уменьшения вреда, а не основной и единственный инструмент, и они достойны внимания на более низком уровне, даже если не могут предотвратить более сложные атаки.
И да ослабление ожиданий, возможно, уже происходит. В своей публикации в блоге о технологии маркировки SynthID, DeepMind тщательно подстраховывается, отмечая, что инструмент «не надежен» и «не идеален».
Источник: Ars Technica, Wired