水標誌不能提供防止深擊的保護，表明

滑鐵盧大學的網絡安全和隱私研究所的一項新研究表明，可以刪除任何人工智能（AI）的任何圖像，而無需攻擊者需要從一開始就設計水印甚至圖像。

隨著AI產生的圖像和視頻變得越來越現實，公民和立法者越來越關注“深層碎片”對政治，法律體系和日常生活的潛在影響。

哲學博士安德烈·卡西斯（Andre Kassis）說：“人們想檢查什麼是真實的，什麼不是，因為如果不能，損害將是巨大的。”計算機科學領域的候選人和研究的主要作者。 “從政治中風運動到不同意色情，這項技術可能會帶來可怕而廣泛的後果。”

AI公司（包括OpenAI，Meta和Google）提供了無形編碼的“水印”作為解決方案，假設這些秘密簽名可以使他們能夠創建公共可訪問的工具，從而始終如一地準確地區分了所產生的AI的內容，而無需透露水印的本質而將其進行了真實的照片或視頻。

但是，滑鐵盧團隊創建了一個工具 未標記它成功破壞了水印，而無需知道它們的編碼方式。 Unmarker是第一個可以在實際條件下刪除水印的實用和通用工具。區別於Unmarker的是，它不需要有關水印算法的知識，不訪問內部參數，並且通常與檢測器沒有相互作用。它普遍起作用，刪除傳統和語義水印，沒有任何設置。

“While the watermark schemes are usually stored secret by AI companies, they must satisfy two important properties: they must be invisible to people to maintain the image quality, and they should be reliable, that is, resistant to manipulations such as pruning or restoration of resolution,” said Dr. Hengartner, associate Professor Professor School David R. School of David R. School of David R. School in Computer Science.

“這些要求顯著限制了水印的可能結構。我們的關鍵理解是，為了遵守這兩個標準，水印應在圖像的光譜區域中起作用，這意味著它們巧妙地操縱了像素強度根據圖像而不同。”

使用統計攻擊，Unmarker正在尋找圖像中像素頻率不尋常的位置，然後扭曲了此頻率，使圖像在由水印識別的工具中無法識別，但與肉眼反復不同。在測試中，這種方法在各種AI模型的案例中有50％以上，包括Google Syntid和穩定的元簽名，而沒有有關圖像或水印的方法的現有知識。

卡西斯說：“如果我們能發現有害演員，”卡西斯說。 “水標誌正在像這個理想的解決方案一樣移動，但是我們表明這項技術破裂了。深擊仍然是一個巨大的威脅。我們生活在一個不再相信自己看到的東西的時代。”

學習 ”Unmarker：對防禦圖像的普遍攻擊»出現在訴訟中 第46屆安全與機密性IEEE研討會場地