Las empresas intentan utilizar marcas de agua digitales para identificar imágenes de IA, pero investigaciones recientes demuestran que sus esfuerzos pueden ser en vano.
Un equipo de investigadores de la Universidad de Maryland probó las técnicas más avanzadas de marcado de agua en imágenes y los resultados no fueron buenos.
Soheil Feizi, profesor de informática de la Universidad de Maryland, afirma que su equipo probó todas las técnicas de marca de agua existentes y las rompió todas.
En trabajo de investigación reconoce que la marca de agua parece ser la defensa más prometedora contra las falsificaciones profundas, pero a continuación expone las deficiencias de los enfoques actuales.
Los dos métodos principales de marca de agua son la baja y la alta perturbación.
El método de baja perturbación consiste en realizar un cambio sutil en una imagen que sea imperceptible para el ojo pero detectable digitalmente. Estos métodos mostraban un equilibrio entre rendimiento y falsos positivos. Cuanto mejor era el método para identificar una falsificación de IA, más probable era que identificara erróneamente una imagen real como falsa.
La alta perturbación consiste en añadir un elemento visible a la imagen, lo que se considera un método más robusto. Los investigadores también consiguieron eliminar todas estas marcas de agua. Su método de "ataque adversario de sustitución de modelos" eliminó incluso las marcas de agua de anillo de árbol más sutiles y avanzadas.
Dado que la IA sigue impulsando la creación y difusión de desinformación, necesitamos una forma eficaz de saber cuándo una imagen o un vídeo han sido creados por la IA. Sin embargo, esta investigación concluye que una solución eficaz parece cada vez más improbable, aunque no imposible.
El equipo de Feizi sólo probó las marcas de agua disponibles. Google y Meta están trabajando en sus propias tecnologías de marcas de agua, pero aún no estaban disponibles para las pruebas.
Aun así, Feizi cree que sus investigaciones indican que ni siquiera las grandes empresas tecnológicas ofrecerán una solución infalible. A publicado por investigadores de la Universidad de California concluyó que "todas las marcas de agua invisibles son vulnerables".
A medida que mejora la IA generativa, es probable que sea más difícil identificar una imagen generada por IA. Por eso, aunque los generadores de imágenes comerciales como DALL-E o Midjourney emplean una marca de agua eficaz, no hay nada que obligue a otros modelos a hacerlo.
La otra cuestión destacada en la investigación de Feizi es que fueron capaces de introducir marcas de agua de IA en imágenes que no habían sido generadas por IA.
El problema es que, si se les presentan pruebas fotográficas, los delincuentes podrían aplicarles una marca de agua de inteligencia artificial para desacreditarlas.
Habrá que ver cómo se defienden las marcas de agua de Google y Meta contra los ataques de fuerza bruta del equipo de Feizi. Por ahora, parece que tendremos que seguir recordando que ver no es creer.