Le aziende stanno cercando di utilizzare i watermark digitali per identificare le immagini AI, ma una recente ricerca dimostra che i loro sforzi potrebbero essere vani.
Un team di ricercatori dell'Università del Maryland ha testato le più moderne tecniche di watermarking delle immagini e i risultati non sono stati buoni.
Soheil Feizi, professore di informatica presso l'Università del Maryland, ha dichiarato che il suo team ha testato tutte le tecniche di watermarking esistenti e le ha infrante tutte.
Il carta di ricerca riconosce che il watermarking sembra essere la difesa più promettente contro i falsi profondi, ma poi delinea le carenze degli approcci attuali.
I due metodi principali di watermarking sono la bassa e l'alta perturbazione.
Il metodo a bassa perturbazione consiste nell'apportare una sottile modifica all'immagine, impercettibile all'occhio ma comunque rilevabile digitalmente. Questi metodi hanno mostrato un compromesso tra prestazioni e falsi positivi. Più il metodo era bravo a identificare un falso dell'intelligenza artificiale, più era probabile che identificasse erroneamente un'immagine reale come un falso.
Un'elevata perturbazione comporta l'aggiunta di un elemento visibile all'immagine, considerato un approccio più robusto. I ricercatori sono riusciti a rimuovere anche tutti questi watermark. Il loro approccio "model substitution adversarial attack" ha rimosso anche i watermark più sottili e avanzati, quelli ad anello.
Poiché l'IA continua a favorire la creazione e la diffusione della disinformazione, abbiamo bisogno di un modo efficace per capire quando un'immagine o un video sono stati creati dall'IA. Tuttavia, questa ricerca conclude che una soluzione efficace appare sempre più improbabile, anche se non impossibile.
Il team di Feizi ha testato solo i watermark disponibili. Google e Meta stanno lavorando alle proprie tecnologie di filigrana, ma non sono ancora disponibili per i test.
Tuttavia, Feizi ritiene che la sua ricerca indichi che anche le grandi aziende tecnologiche non forniranno una soluzione infallibile. A pubblicato da ricercatori dell'Università della California ha concluso che "Tutti i watermark invisibili sono vulnerabili".
Con il miglioramento dell'IA generativa, è probabile che diventi sempre più difficile identificare un'immagine generata dall'IA. Quindi, anche se i generatori di immagini AI commerciali come DALL-E o Midjourney utilizzano una filigrana efficace, ma nulla obbliga gli altri modelli a farlo.
L'altro problema evidenziato dalla ricerca di Feizi è che sono riusciti a introdurre filigrane AI in immagini che non erano state generate dall'AI.
Il problema è che, in presenza di prove fotografiche, i malintenzionati potrebbero applicarvi un watermark dell'IA nel tentativo di screditare le prove.
Bisognerà vedere come se la caveranno i watermark di Google e Meta contro gli attacchi brute-force del team di Feizi. Per ora, sembra che dovremo continuare a ricordare a noi stessi che vedere non significa credere.
