Щобільше, цифрові водяні знаки, які позначають ШІ-зображення, вдалось розмістити й на контенті, який створила людина.
«Ми зламали їх усі», — каже професор Сохейл Фейзі з Університету Меріленда. «На цей момент у нас немає надійних водяних знаків».
Фейзі та його колеги дослідили, наскільки легко зловмисники могли б видаляти цифрові водяні знаки, у новій статті, яка ще не пройшла рецензування,
Подібно до того, як фізичні водяні знаки обрамляють гроші чи марки для підтвердження автентичності, цифрові позначки надають користувачам інформацію про походження зображення, відео та книг з Інтернету — зокрема, хто був їхнім творцем (людина чи технологія). Ще більш актуальною технологія стала з розвитком штучного інтелекту та поширенням глибоких дипфейків — що ще більше тривожить на тлі президентських виборів в США (експрезидент США Дональд Трамп, наприклад, поділився відео з клонованим ШІ голосом Андерсона Купера на своїй соціальній платформі Truth Social).
Цифрові водяні знаки — непогана стратегія, але, судячи з дослідження Фейзі (та інших експериментів), не дуже надійна.
«Встановлено, що водяні знаки можуть бути вразливими для атак», — каже Хані Фарід, професор Школи інформації Каліфорнійського університету в Берклі.
У серпні цього року дослідники з Каліфорнійського університету в Санта-Барбарі та Університету Карнегі-Меллона написали ще одну статтю, в якій поділились подібними результатами, після проведення власних експериментальних атак.
«Усі невидимі водяні знаки вразливі», — пишуть у статті.
Останнє дослідження йде ще далі: Фейзі та колеги кажуть, що деякими видами водяних знаків можна маніпулювати, позначаючи зображення людей, як ті, що створив ШІ.
«Важливо розуміти, що ніхто не вважає, що водяних знаків буде достатньо», — каже Фарід. «Але надійні водяні знаки є частиною рішення».
Він вважає, що вдосконалення водяних знаків та подальше їх використання у поєднанні з іншими технологіями ускладнить зловмисникам процес створення переконливих підробок.
Для науковців, включно з професором інформатики Томом Голдштейном, такі дослідження є можливістю переглянути очікування, покладені на водяні знаки, а не причиною відмовитися від їх використання як одного з багатьох інструментів автентифікації.
«Завжди знайдуться досвідчені люди, яким вдасться уникнути виявлення», — каже Голдштейн. «Це нормально мати систему, яка може виявляти лише деякі речі».
Він розглядає водяні знаки як спосіб зменшення шкоди, а не основний та єдиний інструмент, і вони варті уваги на нижчому рівні, навіть якщо не можуть запобігти складнішим атакам.
І так, послаблення очікувань, можливо, вже відбувається. У своїй публікації в блозі про технологію маркування SynthID, DeepMind старанно підстраховується, зазначаючи, що інструмент «не надійний» і «не ідеальний».
Джерело: Ars Technica, Wired