С каждым годом всё труднее отличить реальность от симуляции. Современные генераторы изображений на основе искусственного интеллекта создают снимки, которые неотличимы от настоящих — даже для экспертов. Недавнее исследование Microsoft с участием 12 500 человек показало: люди распознают ИИ-изображения лишь в 62% случаев — это чуть лучше подбрасывания монеты.
Чтобы остановить лавину дезинформации, регуляторы и компании сделали ставку на водяные знаки — скрытые цифровые метки, встраиваемые в изображения, созданные ИИ. Евросоюз в рамках закона об искусственном интеллекте (AI Act) уже обязал платформы маркировать такой контент. Google, Adobe, Meta — все крупные игроки внедряют или тестируют свои системы.
Но теперь этот подход оказался под угрозой. На симпозиуме IEEE по безопасности и конфиденциальности 2025 года был представлен UnMarker — универсальный инструмент, способный стереть практически любой водяной знак, включая передовые технологии вроде Google SynthID.
Водяные знаки ИИ: как они работают
Современные водяные знаки ИИ — это не логотипы в углу изображения. Они невидимы. Их следы спрятаны не в пикселях, а в спектральной области изображения — в математической структуре, описывающей, как значения пикселей изменяются относительно друг друга.
Представьте лицо на портрете:
- Волосы, текстуры, детали — высокочастотные области (резкие изменения).
- Гладкие участки, кожа, фон — низкочастотные (плавные переходы).
Именно в этих низкочастотных зонах и прячут водяные знаки. Они встраиваются в саму структуру изображения, так что:
- Компьютерный детектор может их найти;
- Человеческий глаз — нет;
- Изображение остаётся визуально неизменным.
Такие системы, как SynthID от Google, StegaStamp, HiDDeN и Tree-Ring Watermarks, рассчитывали на то, что эти метки будут устойчивы к обрезке, сжатию и размытию. Но они не рассчитывали на атаку, направленную прямо в их сердце — спектр.
UnMarker: универсальный стиратель
Андре Кассис, кандидат наук из Университета Ватерлоо, задал простой вопрос:
«Если все компании инвестируют в водяные знаки, выполняют ли они обещания, ради которых их и создали?»
Его ответ — UnMarker, инструмент, который не ищет водяной знак. Он уничтожает его.
Вместо того чтобы анализировать, где и как закодирована метка, UnMarker перезаписывает спектральную структуру изображения — он «перемешивает» низкие частоты, где обычно прячутся водяные знаки. Это как стереть текст, не читая его, а просто перекрасив всю страницу.
Результаты шокируют:
- HiDDeN и Yu2 — 100% удалены.
- Google SynthID — 79% изображений очищены от меток.
- StegaStamp и Tree-Ring — около 60%, но даже этого достаточно, чтобы подорвать доверие.
«UnMarker не пытается быть хирургом, — объясняет Кассис. — Он действует как громоотвод: если в изображении есть водяной знак, он его уничтожает. И делает это универсально.»
Почему это опасно: дешёвые, быстрые и массовые атаки
UnMarker — это не теоретическая угроза. Это рабочий инструмент, выложенный в открытый доступ на GitHub. Его может использовать любой, кто умеет работать с командной строкой.
Что нужно:
- Облачный GPU (например, Nvidia A100 на AWS или Azure);
- Около 5 минут;
- 30 долларов за час аренды.
И — готово: изображение с водяным знаком превращается в «чистое», неотличимое от оригинала. Атака работает даже без обрезки, хотя небольшая коррекция повышает эффективность.
Кассис отмечает: в редких случаях изображение может выглядеть немного «искусственнее», но разница настолько мала, что заметна только при глубоком анализе. Для фейковых новостей, социальных сетей или дезинформации — этого более чем достаточно.
Конец эпохи водяных знаков?
UnMarker вскрывает фундаментальную слабость всей концепции:
Если метка прячется в спектре, атакующий может просто разрушить спектр.
Это классическая дилемма: чтобы водяной знак был незаметным и устойчивым, он должен использовать предсказуемую часть изображения. А это значит, что и атака на него становится предсказуемой.
Более того, злоумышленник может просто:
- Сгенерировать 10 изображений с водяными знаками;
- Прогнать их через UnMarker;
- Выбрать то, где метка удалена — и выдать за «настоящее».
И всё это — автоматически, дёшево, масштабируемо.
Что теперь? От меток к доказательствам подлинности
Эксперты уже говорят: водяные знаки — это мёртвый путь. Они не могут гарантировать подлинность. Они могут быть удалены. А значит, доверие к ним рушится.
Решение, по мнению Кассиса и других исследователей, лежит в другой плоскости:
Не маркировать ИИ-контент, а доказывать подлинность реального.
Технологии вроде:
- Content Credentials (Adobe, C2PA) — цифровые «паспорта» изображений, привязанные к устройству и времени съёмки;
- Криптографическая подпись — метаданные, защищённые от подделки;
- Цепочки блокчейн-доказательств для медиа.
Такие системы не прячутся — они открыты, проверяемы и не поддаются стиранию, потому что привязаны к источнику, а не к содержимому.
UnMarker — не просто хак. Это звонок. Он показывает, что попытки «приклеить» метку к изображению ИИ — это временная иллюзия контроля.
Если мы хотим бороться с дезинформацией, мы должны перестать полагаться на невидимые метки, которые легко стереть. Вместо этого — строить инфраструктуру доверия снизу вверх: от камеры до потребителя.
Потому что в мире, где искусственное становится неотличимым от реального, доверять нужно не изображению — а его происхождению.
Источник: https://spectrum.ieee.org/ai-watermark-remover
Если вам понравился материал, кликните значок - вы поможете нам узнать, каким статьям и новостям следует отдавать предпочтение. Если вы хотите обсудить материал - не стесняйтесь оставлять свои комментарии : возможно, они будут полезны другим нашим читателям!
