如何識別AI製品?2026版
自從 AI 產物“氾濫”,我最愛乾的一件事就是幫網友打假、鑑僞。
比如有次我看到小紅書上有人發帖求助,疑似買家用 AI 做張產品損壞的假圖騙取“僅退款”。我正幫網友一板一眼地分析,“斷裂處有點模糊,對不上”,然後看到有其他帖子直接甩出國家反詐中心 App 的鑑定截圖。
好傢伙,國家終於出手了!不久前,國家反詐中心 App 新增了對疑似 AI 圖像、視頻、文本、人聲音頻內容的檢測功能。
如今幾乎每一天都有新迭代的生成式技術出現。AI 憑空生成極具現實感的長視頻,連人物瞳孔裏的光影折射和微表情下的皮膚紋理,都已經做到了符合人直覺的以假亂真。
對於互聯網的不信任,在今天絕不是什麼被迫害妄想症。AI 僞造確實引發了一場關於真實的信任危機。
往往對付一項技術的最好辦法,是用技術打敗技術。今天,我們就來聊聊生成式內容時代的新護城河:隱形水印。
道高一丈
顧名思義,這是一種看不見的水印。相比浮在圖片上的傳統的水印,極容易被簡單修圖手段抹掉,逃過人眼,隱形水印是通過算法,將標識信息直接寫在內容的數據底層。
以當今被應用最廣的隱形水印技術 SynthID( DeepMind 團隊推出的)爲例。SynthID 的背後並不是一個簡單的加密公式,訓練 SynthID 的方式是兩個深度學習模型左右互搏。一個“嵌入模型”負責把水印藏進去,一個“提取模型”負責把水印找出來。這兩個模型經歷了成千上萬次的對抗訓練,嵌入模型試圖把信號藏得更深,提取模型則在被壓縮、被塗改的殘破數據中尋找嵌入痕跡。
針對不同媒介的數字內容,嵌入水印的方式也不同。
· 圖片
數字圖像的本質是幾百萬個發光像素點的集合。當 AI 繪圖時,它就是在計算並決定像素的顏色分佈。嵌入模型的做法是,在生成瞬間做人眼根本無法察覺的極其微小的調整。比如,讓畫面中特定區域的幾千個紅色像素,在亮度上集體暗了 0.01%,並在空間排列上形成某種特定的規律。即使你是專業調色師,肉眼也未必看出“正紅”和“偏暗 0.01% 的紅”的區別,但計算機能。
肉眼沒有觀感差異,但機器會看到水印
提取模型通常需要很高的魯棒性,即使圖片經歷嚴重壓縮和裁剪,附加多層濾鏡,只要殘留像素數量足夠多,提取模型就能發現統計學規律,檢測到 AI 水印。
我做了一個測試,用 Gemini 生成了兩個真人小女孩的合照。然後對着屏幕翻拍,拿到 PS 里加濾鏡調色,把圖片發微信後再下載,壓縮一遍。經歷了一連串“洗稿式”處理後,Gemini 依然能一眼看穿。
· 視頻
視頻比圖片多了一個關鍵的維度,時間。
視頻由一幀一幀的畫面構成,因此最爲簡單粗暴的嵌入方式,就是給每一幀單獨打上隱形水印。
就跟人類身上每一個細胞都能提取出 DNA 一樣。提取模型具備“抗剪輯”能力,即便是被抽幀,提取模型也能從哪怕只保留1秒鐘的視頻畫面裏將水印信號提取出來。
· 音頻
給音頻加隱形水印的邏輯參照了人的生理規律。
人類的聽覺只能聽到 20Hz - 20000Hz 的聲音,我們不僅聽不到超聲波或次聲波,而且當一個極其響亮的聲音和一個微弱的聲音同時出現時,由於"聽覺掩蔽效應",微弱的聲音會被大腦自動忽略。但這是傳統的音頻水印法。
比如 Meta 的開源方案 AudioSeal 用的就是這種方法,模型會在原始音頻中嵌入一段不在聽覺範圍內的“隱形頻段”。
SynthID 做法是把聲音波形轉換成二維的頻譜圖,像處理圖片一樣在頻譜圖上加密,再把加了密的頻譜圖重新轉換回音頻波形。
嵌入水印後絲毫不影響人類的聽覺體驗,這些微小的加密特徵完美融入了正常的聲紋紋理中,看不出任何人爲篡改的痕跡。
這種做法也讓音頻水印極其"抗造"。無論是被強行壓縮成劣質的 MP3 格式,還是人爲倍速播放,水印都極難被抹除。
· 文本
最後是文本。不得不說,給文字加隱形水印最難。
因爲文本是離散的——一個詞就是一個詞,不能像像素那樣做 0.01% 的微調。如果只是簡單地把"漂亮"替換成"美麗",很容易被別人用另一個 AI 翻譯一遍就洗掉了。
目前文本水印的主流解法,是“黑幕操縱” AI 生成詞彙的概率分佈。
大語言模型本質上是一個“詞彙接龍”機器。比如輸入“今天天氣很”,它預測下一個詞是“好”的概率是 80%,是“晴朗”的概率是 15%。
SynthID-Text 用一種新穎的採樣算法(Tournament Sampling)。模型要生成下一個詞的時候,SynthID 不直接選概率最高的那個,它會給所有候選詞分配特定分數(基於前文和密鑰計算得來的)。這些詞兩兩“PK”,最終得分最高的詞作爲最終輸出。當解碼器拿到一段文本,它會用同樣的密鑰計算一遍。就像擲骰子,表面上是隨機的,如果我知道骰子的物理參數和投骰子的手法,也許就能預測結果。
結果是:人類讀起來通順流暢,但解碼器一算這些詞彙的出現概率和排列組合,就能斷定,"這種用詞規律,自然人寫不出來。"
但是,生成質量和水印性能的平衡需要把握。想讓水印越堅固、越抗造,就必須把它嵌得越深、對原始數據的修改閾值就得拉得越大,那勢必會影響生成質量。
沒有攻不破的盾
在黑客帝國裏,沒有絕對安全的盾。
如果像我似的,對着電腦屏幕“翻拍”呢?信號經歷了一次“數字-模擬-數字”的跨媒介轉換,原有的像素級編碼有可能被物理洗掉。
或者“魔法打敗魔法“,資深的AI繪圖玩家將帶有水印的 AI 圖像放進繪圖軟件作爲底圖,開到極高的重繪幅度重新跑圖,原有的水印很可能被洗掉。
有論文討論了“重水印攻擊”,攻擊者使用自己的水印模型在已有的水印圖片上再嵌入一層水印,干擾或覆蓋原始信號。
以目前的技術環境,隱形水印更像是“君子協定”,尤其在開源的真空地帶。如果模型的結構和權重完全公開,開發者可以修改推理流程、關閉相關模塊,甚至直接訓練不包含水印機制的模型版本。只要技術環境足夠開放,“繞過”水印在理論上始終可行。也許“破解 AI 水印”會成爲信息安全又一個常態問題,就像植入病毒和殺毒,一直在“共同進步”。
業界迫切需要一個“車同軌、書同文”的統一標準,目的是讓 A 平臺也能識別出這是由 B 模型生成的 AI,別都“各自爲戰”。
比如目前正在推進的 C2PA 技術標準。比如 OpenAI 已經在 DALL·E 3 生成內容中添加 C2PA 元數據。以及 Meta 將識別 C2PA、IPTC 標準的元數據,並在旗下社交平臺比如 Facebook、Instagram 和 Threads 上標註出“AI 生成”,減少 AI 內容對用戶的迷惑。
不過元數據(在後面也會提到),本質上是一種附加的數字簽名,不如寫進原數據裏的水印那樣深刻。
一種“確權”手段
其實早在 2024 年,OpenAI 就開發出了文本隱形水印,但遲遲不願大規模部署。因爲他們評估後發現,一旦強制給 ChatGPT 加上水印,那些依賴 AI 輔助寫作、翻譯或潤色的真實用戶,會因爲極度反感被判定爲“AI 代寫”而大規模棄用產品。
但是作爲“堅持手搓”的內容創作者,我爲什麼力挺這類信息追蹤技術?隱形水印能給 AIGC 加上標籤,就也能給人類創作者加,作爲保護人類版權的一種方式。
以前保護版權最常用的手段是元數據(Metadata)嵌入,數碼圖像常見的元數據類型有 EXIF(相機型號、曝光等信息)、IPTC(作者、版權、圖片關鍵字等)、XMP(後期創作軟件寫入的工作流程信息,Lightroom / Photoshop 做的顏色、裁剪等)。
元數據標籤雖然藏在文件屬性裏,本質上只是一段附加的文本代碼。目的是爲了“展示”,而不是“加密”,且都可以刪改。比如大多數社交媒體平臺,爲了節省空間,會將你上傳的圖片自動壓縮,順手剝離大部分元數據。
從生產源頭,有人主張把水印直接刻進相機底層(比如徠卡、索尼已經在高端相機裏做這事了)。按下快門那一刻,照片就自動生成無法篡改的加密證明。他們的邏輯是,未來不用費力鑑定什麼是 AI 內容,只要文件沒有這種物理級別的硬件水印,平臺就直接默認它是機器生成的。
徠卡 M11-P是全球首款內置“內容憑證”的高端相機。是元數據,但又具備隱形水印特性,寫入不可僞造的加密簽名|來源:徠卡
還有一些創作者認爲,水印最好記錄人類特有的生物特徵,比如歌手具體的聲帶振動頻率。然後把生物水印和結算系統打通。一旦 AI 公司抓取這些素材訓練,底層代碼就會強制觸發合同,讓 AI 平臺自動向原作者付錢。所以“攜帶可驗證的數字標識”一旦在各行業普及,就極有可能衍生出版權上的自動溯源與微支付機制。
比如 SynthID 技術文檔表示目前超過真僞(AI與否)檢測,技術已經進化到了出處溯源。
一個很有意思的應用例子。YouTuber 想把雜亂的家換成 ApplePark,可以用 YouTube 提供的 Dream Screen 功能,其內置 Veo 模型一鍵生成綠幕背景。發佈視頻時,平臺底層的 SynthID 檢測器就會並自動打上“合成內容”的合規標籤。在 YouTube 平臺上,創作者如果沒有手動標記 AI 會被平臺限流甚至封號。
圖源 TechCrunch
隱形水印技術既可以被用來保護“人類成果”,也可以規範創作流程。
AIGC 爆發的幾年間,徹底摧毀了人類長久建立起來的“眼見爲實”的人生信條。真真假假混在一起,假的讓人迷惑,真的讓人難以置信。最終,我們不得不妥協,依賴技術對抗技術製造的虛假和迷茫。
作者:糕級凍霧
編輯:沈知涵
圖片來源:沒有特殊標明都來自Google
本文來自果殼,未經授權不得轉載.
如有需要請聯繫[email protected]
點個“小愛心”吧