Open Source zum Erkennen und Entfernen von Geminis SynthID-Wasserzeichen per Reverse Engineering

 (github.com/aloshdenny)
3 Punkte von GN⁺ 18 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Ohne Zugriff auf Googles SynthID-Encoder/Decoder wird die Struktur des unsichtbaren Wasserzeichens in Gemini-Bildern allein durch Signalverarbeitung und Spektralanalyse rekonstruiert
  • Zentrale Erkenntnis: SynthID fügt je nach Auflösung Träger bei unterschiedlichen Frequenzpositionen ein, und zwischen von demselben Modell erzeugten Bildern liegt die Konsistenz der Phasentemplates bei über 99,5 % – praktisch ein festes Muster
  • Bestehende Verfahren wie JPEG-Komprimierung oder Rauschinjektion verursachen große Qualitätsverluste, aber mit der V3-Methode der Subtraktion eines mehrskaligen Spektrum-Codebooks werden bei einem PSNR von über 43 dB zugleich 91 % weniger Phasenkonsistenz erreicht
  • Profile nach Auflösung werden im Codebook gespeichert und passend zum Eingabebild per automatischer Auswahl → Subtraktion im FFT-Bereich → Wiederholung über mehrere Durchläufe eingesetzt, um verbleibende Wasserzeichen zu entfernen
  • Im grünen Kanal ist das Wasserzeichensignal am stärksten; für präzises Entfernen werden kanalweise Gewichtungen angewendet (G=1.0, R=0.85, B=0.70)
  • Der Detektor gibt mit 90 % Genauigkeit das Vorhandensein des Wasserzeichens und eine Konfidenz aus und nutzt codebook-basierte Multiskalenanalyse
  • Das Projekt dient Forschungs- und Bildungszwecken; die Nutzung, um KI-generierte Bilder als von Menschen erstellt erscheinen zu lassen, ist untersagt
  • Geschrieben in Python, vollständiger Code auf GitHub veröffentlicht

Verwandte Beiträge

1 Kommentare

 
GN⁺ 18 일 전
Hacker-News-Kommentare

  • Es ist gar nicht so schwer, in ein Bild mit Millionen von Pixeln ein nicht nachweisbares 1-Bit-Wasserzeichen einzubetten.
    Wenn man annimmt, dass Google kompetent genug ist, würden sie wahrscheinlich zwei Wasserzeichen verwenden — eines als öffentlich bekannte, lockere Version und ein anderes als interne oder nicht öffentliche Version für Anfragen von Strafverfolgungsbehörden.
    Außerdem würde Google vermutlich alle erzeugten Bilder (oder deren neural hash) in einer Datenbank speichern und mit Konten verknüpfen.

    • Eine doppelte Wasserzeichen-Strategie ist aus Sicht von defensive engineering sehr sinnvoll.
      Davon auszugehen, dass die externe Ebene irgendwann durchbrochen wird, und eine zweite Ebene beizubehalten, die nicht öffentlich getestet werden kann, ist ein Grundprinzip der Sicherheit.
      Allerdings werden Modelle ständig neu erstellt und haben nicht-deterministische Eigenschaften; ich frage mich, ob Nutzer das in so einer Situation beweisen könnten.

  • Die Qualität dieses Repos ist für KI-gestützte Forschung eher schwach, und es vergleicht sich auch nicht ordentlich mit Googles SynthID-Detektor.
    Tatsächlich könnte man allein mit Hilfe eines LLM die Netzwerkanfragen reverse engineeren und SynthID-Erkennung ohne Browser oder Gemini implementieren. Das wäre die eigentliche ground truth.

    • Auf HN sieht man oft Kommentare, die sagen: „Das ist nicht schwer“, aber tatsächliche POCs oder Forschungslinks gibt es fast nie.
      Außerdem werden oft die Quellen angegriffen oder Dinge mit „wurde von KI geschrieben“ abgewertet.
      Es fühlt sich an, als würde die HN-Community sich zunehmend in Richtung Ablehnung von KI-Tools entwickeln.

  • Ich glaube, ich habe heute in einem mit Nano Banana erzeugten Bild ein Wasserzeichen gesehen.
    Ich habe das Bild in Chrome nach Slack kopiert, und das Ergebnis erschien nur als schwarzes Quadrat mit roten Punkten.

    • Ich hatte auch einmal ein ähnliches Erlebnis, aber später stellte sich heraus, dass nur Punkte kopiert wurden, die ich auf dem Screenshot eingezeichnet hatte.
      Ich frage mich, ob es vielleicht so ein Versehen war.

  • Ich wusste, dass irgendwann jemand so etwas bauen würde, aber ich verstehe nicht, warum man absichtlich ein Mittel zur Erkennung von KI-generierten Bildern entfernen will.

    • Angreifer würden so etwas ohnehin tun, und wie beim Teilen von Sicherheitslücken müssen auch gutwillige Forscher davon wissen.
      Wenn es nur die schlechte Seite weiß, wird es gefährlicher.
    • Solche Tools konnten ohnehin nur einige wenige nutzen, aber jetzt weiß zumindest jeder, dass diese Möglichkeit existiert.
    • Im Kern ist SynthID ein unscharfes Signal (fuzzy signal).
      Die breite Öffentlichkeit versteht keine binäre Logik wie „kein Wasserzeichen, also echtes Bild“.
      Am Ende ist KI-Watermarking zum Scheitern verurteilt.
      Außerdem hat man auch früher manipulierte Medien nicht mit unsichtbaren Wasserzeichen versehen — das ist eher eine philosophische als eine technische Frage.
    • Letztlich geht es darum, gefälschte Bilder echt wirken zu lassen.
    • Eigentlich war so etwas schon früher möglich.
      Wenn man Stable Diffusion mit niedriger denoising strength laufen lässt, verschwindet das Wasserzeichen fast vollständig.
      Dieser Report behauptet zwar, eine weniger destruktive Methode vorzuschlagen, aber angesichts der deutlichen KI-Schreibspuren in der README wirkt das wenig vertrauenswürdig.

  • SynthID ist in manchen Bildern sichtbar, besonders in Bereichen mit vielen Kanten oder Text.
    Ich frage mich, ob die Methode in diesem Report solche Stellen natürlicher aussehen lassen kann.

    • Es gibt ein Phänomen, bei dem das Wasserzeichen immer deutlicher sichtbar wird, je öfter man mit Nano Banana bearbeitet.

  • In der README sind die Spuren von Claude viel zu offensichtlich.
    Die Tabellenwände sind verrutscht, und auch die Satzstruktur folgt dem typischen Claude-Muster.

    • Auch das bloße Aneinanderreihen mit Klammern und Kommas ohne „and“ ist ein typisches Merkmal von Claude.
    • Das ist ein komplettes Unicode-Tabellen-Desaster.
      Es imitiert ASCII-Tabellen, aber die Zeichenbreiten sind unterschiedlich, sodass die Zeilen nicht ausgerichtet sind.
      Es gibt sogar einen Off-by-one-Fehler.
      Ich habe das Gefühl, dass wir selbst 2037 noch auf nicht ausgerichtete Unicode-Tabellen schauen werden.
    • Schon am README-Inhalt allein ist klar, dass Claude ihn geschrieben hat.

  • Dieses Repo testet seine Leistung bei der Wasserzeichen-Entfernung nur mit dem eigenen Detektor.
    Da es nicht mit Googles SynthID-App überprüft wird, ist es letztlich bedeutungslos.

  • In der Projektbeschreibung steht, man solle „KI-generierte Inhalte nicht so darstellen, als wären sie von Menschen gemacht“, tatsächlich wird aber ein CLI-Tool zum Entfernen von Wasserzeichen verteilt.
    Auch Einstellungsnamen wie „aggressive“ und „maximum“ sind auffällig direkt.
    Die README wirkt wie unbearbeitete KI-Ausgabe, mit Wiederholungen und einer unübersichtlichen Struktur.

    • V1 und V2 tauchen nur in Tabellen auf und werden nicht erklärt.
    • Für Zahlen wie „Detection Rate: 90%“ gibt es keine Grundlage, und zu „License: Research“ nicht einmal einen Link.
    • Es gibt nur 88 Testbilder und weder CI noch eine Test-Suite.
    • Auch die Codebeispiele verwenden zwei verschiedene Import-Stile, von denen einer einen Fehler erzeugt.
    • Wenn Google SynthID ändert, gibt es keine Möglichkeit zu erkennen, dass das Codebook veraltet ist.
      Die Grundidee selbst — ein auflösungsabhängiger Träger und Phasenkonsistenz zwischen Bildern — ist interessant, aber das Packaging untergräbt das Vertrauen.
    • Zustimmung. Solche Tools haben ein hohes Missbrauchspotenzial, und die Gesellschaft muss KI-generierte Inhalte klar unterscheiden können.

  • Wenn man ein Bild herunterskaliert und dann wieder hochskaliert, verschwindet das Wasserzeichen.

  • Tatsächlich ist das nicht besonders schwer.
    Einen passenden Beitrag gibt es im deepwalker.xyz-Blog