谷歌DeepMind开发SynthID时,将其定位为AI生成图像的加密身份证——一种无法伪造的真实性证明。然而,一位名为Aloshdenny的开发者在GitHub上发布代码,声称这个系统根本不堪一击。他没有使用复杂攻击,没有窃取任何凭证,也没有动用神经网络魔法。只是用200张Gemini生成的图像,加上信号处理技术,以及"太多空闲时间",就声称逆向工程了SynthID的水印方案。谷歌立即反驳,称该方法"实际上无法绕过SynthID"。这个矛盾的背后,暴露的正是AI内容溯源体系的根本脆弱性。
这是一场不对等的信誉对决:一方是匿名开发者,凭开源代码和一篇文章立论;另一方是投入数年研发SynthID的科技巨头。整个内容验证生态链——从新闻机构到法律系统——都悬于这次争议的裁决。
SynthID通过在图像生成时向像素级别嵌入不可见水印来工作。这些标记被设计为能够抵抗裁剪、压缩和色彩调整。平台、记者和监管机构已经开始围绕这些信号构建验证工作流。整个"AI生成内容"的溯源体系都依赖于这些标记保持隐蔽且完整。
Aloshdenny的方法声称能完成两件事:从AI生成图像中剥离SynthID标记,以及将伪造标记植入人工创作作品。技术路径据报道相当直接:大量生成Gemini图像,通过信号处理分析像素级模式,然后逆向推导水印签名特征。无需神经网络,无需专有访问——仅凭统计分析SynthID如何修改像素分布。
谷歌的反驳至关重要,但尚未发布详细的技术说明来证实其立场。若Aloshdenny的方法经得起验证,所有依赖SynthID验证的平台都将面临盲区。新闻编辑室可能发布被标注为真实的AI生成图像,法庭证据可能被污染,事实核查者将失去一个他们以为可靠的验证工具。
更深层的问题在于,水印的安全性从来都依赖于保密性。一旦方法被公开演示——哪怕只是部分有效——潘多拉魔盒就已打开。基于类似原理构建的所有AI检测工具都面临同样风险。Aloshdenny已公开发布代码。下一步取决于独立安全研究人员的验证,或者谷歌发布详细技术反驳。在此之前,这个矛盾将持续悬而未决:一位开发者声称水印已被破解,谷歌坚称并非如此。整个溯源体系需要寻找更坚实的基础。