Bedrijven proberen digitale watermerken te gebruiken om AI-afbeeldingen te identificeren, maar uit recent onderzoek blijkt dat hun inspanningen wel eens tevergeefs zouden kunnen zijn.
Een team onderzoekers van de Universiteit van Maryland testte geavanceerde technieken voor het watermerken van afbeeldingen en de resultaten waren niet goed.
Soheil Feizi, professor computerwetenschappen aan de Universiteit van Maryland, zei dat zijn team alle bestaande watermerktechnieken heeft getest en ze allemaal heeft gebroken.
De onderzoeksdocument erkent dat watermerken de meest veelbelovende verdediging tegen diepe vervalsingen lijken te zijn, maar schetst vervolgens de tekortkomingen in de huidige benaderingen.
De twee belangrijkste methoden voor watermerken zijn lage en hoge verstoring.
Bij de methode met een lage verstoring wordt een subtiele wijziging aangebracht in een afbeelding die niet waarneembaar is voor het oog, maar toch digitaal detecteerbaar is. Deze methoden vertoonden een wisselwerking tussen prestaties en fout-positieven. Hoe beter de methode was in het identificeren van een AI vervalsing, hoe groter de kans dat de methode ten onrechte een echte afbeelding als een vervalsing identificeerde.
Bij een hoge verstoring wordt een zichtbaar element aan de afbeelding toegevoegd, wat als een robuustere aanpak wordt beschouwd. De onderzoekers konden al deze watermerken ook verwijderen. Hun "model substitution adversarial attack"-aanpak verwijderde zelfs de subtielere geavanceerde boomringwatermerken.
Nu AI de creatie en verspreiding van desinformatie blijft aandrijven, hebben we een effectieve manier nodig om te zien of een afbeelding of video door AI is gemaakt. Dit onderzoek concludeert echter dat een effectieve oplossing steeds onwaarschijnlijker wordt, hoewel niet onmogelijk.
Het team van Feizi heeft alleen de beschikbare watermerken getest. Google en Meta werken aan hun eigen watermerktechnologieën, maar deze waren nog niet beschikbaar om te testen.
Toch denkt Feizi dat hun onderzoek aangeeft dat zelfs de grote techbedrijven geen waterdichte oplossing zullen leveren. A paper gepubliceerd door onderzoekers van de Universiteit van Californië concludeerde dat "alle onzichtbare watermerken kwetsbaar zijn".
Naarmate generatieve AI beter wordt, zal het waarschijnlijk moeilijker worden om een door AI gegenereerde afbeelding te identificeren. Dus zelfs als commerciële AI-afbeeldingsgeneratoren zoals DALL-E of Midjourney een effectief watermerk gebruiken, is er niets dat andere modellen dwingt om dat te doen.
Het andere probleem dat naar voren kwam in het onderzoek van Feizi is dat ze in staat waren om AI-watermerken te introduceren in afbeeldingen die niet AI-gegenereerd waren.
Het probleem hiermee is dat wanneer fotografisch bewijs wordt gepresenteerd, kwaadwillenden er een AI-watermerk op kunnen aanbrengen in een poging het bewijs in diskrediet te brengen.
We zullen moeten zien hoe de watermerken van Google en Meta het doen tegen de brute-force aanvallen van Feizi's team. Voor nu lijkt het erop dat we onszelf eraan moeten blijven herinneren dat zien niet geloven is.