夜雨聆风5 月 19 号,同一天,发生了两件事。
第一件。OpenAI 宣布采用 Google 的 SynthID 水印技术。两家 AI 巨头联手,要给 AI 生成的图片打上「隐形身份证」。截图、缩放、加滤镜,都洗不掉。
第二件。一个叫 Remove-AI-Watermarks 的开源工具,在 Hacker News 上以 325 分登上热榜。它的功能就一个,把 AI 水印全部去掉。支持 Google、OpenAI、Stable Diffusion、Adobe Firefly、Midjourney。
前脚筑墙。后脚拆墙。
同一天。
我当时就觉得,这个剧情也太魔幻了。
先说说 OpenAI 这边做了什么。
他们做了两件事。第一件是采用了 C2PA 元数据标准。你可以理解为给每张 AI 生成的图片贴了个「出生证明」,里面写着谁生成的、用什么模型、什么时候生成的。第二件是接入了 Google 的 SynthID 隐形水印。
这两个东西的区别是,C2PA 元数据就像是贴在图片外面的标签,你可以看到,也可以撕掉。而 SynthID 是刻在图片像素里的暗纹,肉眼完全看不出来,但机器能读出来。
OpenAI 的官方说法是,「水印在经过截图等变换时更持久,而元数据能提供更多信息。两层防护叠加,比任何单一方案都更可靠。」
说得很好听。
但问题来了。
同一天登上 HN 热榜的那个工具叫 Remove-AI-Watermarks。作者是一个叫 wiltodelta 的 GitHub 用户。MIT 开源协议。现在已经 1k星了。
这个工具做了三件事。
第一件,去掉可见水印。Google Gemini 生成的图片上有个小水印标记,它用了一个 NCC(归一化互相关)检测器找到水印位置,然后反向还原。处理一张图大概 0.05 秒,不需要 GPU。
0.05 秒。你眨个眼的功夫,水印就没了。
第二件,去掉隐形水印,包括 SynthID。这一步的技术含量最高。它不是传统意义上的「破解」水印算法,而是用了一种更暴力也更聪明的方法,扩散模型重生成。
具体来说,先把图片编码到潜空间(就是 AI 模型内部的数学表示),加一轮受控的正向扩散(往图片里加噪点),然后再反向去噪。大概 50 步。
这一步的逻辑是,SynthID 的水印信号藏在像素级的噪点模式里。扩散模型重生成的过程会彻底打乱这些噪点模式,同时保留图片的视觉内容。相当于把一栋房子拆了重建,外观一模一样,但墙里的暗号全换了。
第三件,去掉元数据。EXIF 标签、XMP 标记、PNG 文本块、C2PA 凭证,全部清掉。
三种水印,三层防护,一层一层给你剥干净。
坦率的讲,看到这个工具的原理时,我有一种似曾相识的感觉。
十几年前,数字音乐行业花了几十亿美元搞 DRM(数字版权管理)。每首歌都加密,每台设备都认证,每份拷贝都追踪。结果呢?一个十几岁的孩子用一条音频线从声卡录一遍,所有加密就都没了。
电影行业也是。蓝光光盘的 AACS 加密被破解之后,好莱坞又搞了 BD+,又被破解了。再搞 Cinavia 音频水印,结果呢?有人写了工具专门过滤掉那个频段。
历史一次又一次地证明了一件事。
防守方和攻击方之间,存在一个根本性的不对称。
防守方的水印必须在所有合法操作下都存活,截图、压缩、裁剪、加滤镜、打印再拍照。攻击方只需要找到一个水印扛不住的操作就行了。
而 Remove-AI-Watermarks 的方法更绝。它根本不跟水印算法正面较量。它用扩散模型重新生成一张图,外观几乎一样,但底层的像素数据已经完全不同。水印信号在重生成的过程中自然就消失了。
这就像你想在水面上写字。你写得再隐蔽,别人把水搅一搅,字就没了。水面还是那个水面,但你的字没了。
说到这里,得聊聊 SynthID 到底是怎么工作的。
Google 在 2024 年把 SynthID 的研究发在了 Nature 上。对,就是那个顶级科学期刊。可见他们对这个技术的重视程度。
原理大概是这样的。AI 模型在生成图片的时候,会在潜空间(模型内部的数学空间)里嵌入一个特定的信号模式。这个信号在图片生成的过程中被编织进了像素里,但人眼完全看不出来。经过截图、压缩、加滤镜这些常见操作,信号还能保持一定的可检测性。
Google 的说法是,SynthID 可以抗住裁剪、滤镜、帧率变化、有损压缩这些操作。
但 Remove-AI-Watermarks 的文档里有一句话挺有意思的。它说,「如果原始水印文件曾经经过提示发起者控制的系统,Google 保留将该原始文件与生成账户关联的能力。」
翻译一下,就是说,就算你去掉了水印,Google 可能还是知道这张图是你生成的。因为他们有原始记录。
但问题是,真的有那么多人在乎 Google 知不知道吗?
从更大的格局看,AI 内容溯源这个事情,现在大概有四种路线。
第一种是元数据路线,就是 C2PA 那套。在文件里写信息。优点是简单,缺点是谁都能删。
第二种是像素级隐形水印,就是 SynthID。藏在图片的噪点里。比元数据难搞,但扩散模型可以绕过。
第三种是模型内嵌水印,比如 Meta 的 StableSignature。在模型生成图片的过程中就写进去。比外部水印更难去,但还是有办法绕。
第四种是潜空间水印,比如 TreeRing。在模型的内部表示里做标记。理论上最难去,但刚才那个工具的文档里写着也支持了。
四种路线,全军覆没。
当然,这么说有点绝对。Remove-AI-Watermarks 自己也承认,对 SynthID v2 的去除效果是基于手动验证的,还没有自动化回归测试。AVIF、HEIF、JPEG-XL 这些格式也没完全覆盖。
但方向已经很清楚了。只要有人想去除,就一定能找到办法。
我有时候想,这件事的根源是什么。
说到底,AI 生成内容的水印和当年的音乐 DRM 面对的是同一个问题,你没办法在不损害用户体验的前提下做到绝对安全。
音乐 DRM 的死因是,正版用户觉得麻烦,盗版用户毫无影响。最后唱片公司放弃了 DRM,iTunes 卖无 DRM 的音乐,反而赚了更多钱。
AI 水印会不会走同一条路?
有一个细节值得注意。欧盟的 AI 法案要求 AI 生成内容必须标注来源,但标注义务推迟到了 2026 年 12 月才生效。中国的深度合成规定更早,2023 年 1 月就生效了,要求 AI 生成内容同时有可见和隐形标记。美国联邦法律规定,以欺骗目的去除内容来源标识是违法的。
法律在收紧。技术在松动。
OpenAI 和 Google 联手筑墙这件事本身,说明行业已经意识到了问题的严重性。但墙筑得越高,拆墙的工具就越厉害。
这个猫鼠游戏不会停。
回到文章开头的那个画面。
5 月 19 号,同一个下午。OpenAI 的工程师在发布博客,宣布 SynthID 合作。另一边,一个 GitHub 用户的开源项目在 Hacker News 上疯狂涨粉。
两拨人在同一天,做着完全相反的事。
一个在说「我们找到了解决方案」。另一个在说「你的方案我刚破解了」。
我看到这个画面的时候,脑子里冒出的是一个不太恰当的类比。
有点像中世纪的城堡攻防战。守城方发明了更高的城墙,攻城方就造了更长的梯子。守城方倒热油,攻城方就造了铁皮顶棚。你来我往,永无止境。
不同的是,这次攻城方不需要自己造梯子。他把梯子的图纸开源了,全世界任何人都可以造。
1k星。MIT 协议。拿来就能用。
AI 水印的未来会怎样,我不知道。但我知道一件事。
在这个行业里,每当你觉得自己找到了一个「解决方案」的时候,大概率有人正在写一个让这个方案失效的工具。
而且他们可能比你更快。
看到这里了,觉得不错就点个赞、在看、转发三连吧~ 想第一时间收到推送,给我个星标⭐。感谢你看我的文章,下次见。
