As empresas estão a tentar utilizar marcas de água digitais para identificar imagens com IA, mas estudos recentes mostram que os seus esforços podem ser em vão.
Uma equipa de investigadores da Universidade de Maryland testou as técnicas mais avançadas de marca de água em imagens e os resultados não foram bons.
Soheil Feizi, professor de ciências informáticas na Universidade de Maryland, disse que a sua equipa testou todas as técnicas de marca de água existentes e quebrou-as todas.
O trabalho de investigação reconhece que a marca de água parece ser a defesa mais promissora contra as falsificações profundas, mas depois descreve as deficiências das abordagens actuais.
Os dois principais métodos de marcação de água são a baixa e a alta perturbação.
O método de baixa perturbação envolve a introdução de uma alteração subtil numa imagem que é impercetível à vista, mas ainda assim detetável digitalmente. Estes métodos apresentam uma relação de compromisso entre desempenho e falsos positivos. Quanto melhor o método fosse na identificação de uma IA falsa, maior seria a probabilidade de identificar erradamente uma imagem real como falsa.
A alta perturbação envolve a adição de um elemento visível à imagem, o que é considerado uma abordagem mais robusta. Os investigadores também conseguiram remover todas estas marcas de água. A sua abordagem de "ataque adversário de substituição de modelos" removeu mesmo as marcas de água avançadas mais subtis do tipo "anel de árvore".
Como a IA continua a potenciar a criação e a propagação da desinformação, precisamos de uma forma eficaz de saber quando uma imagem ou um vídeo foi criado pela IA. No entanto, esta investigação conclui que uma solução eficaz parece cada vez mais improvável, embora não impossível.
A equipa da Feizi apenas testou as marcas de água disponíveis. A Google e a Meta estão a trabalhar nas suas próprias tecnologias de marcas de água, mas ainda não estavam disponíveis para teste.
Mesmo assim, Feizi considera que a sua investigação indica que nem mesmo as grandes empresas de tecnologia conseguirão fornecer uma solução infalível. A publicado por investigadores da Universidade da Califórnia concluiu que "todas as marcas de água invisíveis são vulneráveis".
À medida que a IA generativa melhora, é provável que se torne mais difícil identificar uma imagem gerada por IA. Assim, mesmo que os geradores de imagens de IA comerciais, como DALL-E ou Midjourney utilizem uma marca de água eficaz, não há nada que obrigue os outros modelos a fazê-lo.
A outra questão destacada na investigação de Feizi é o facto de terem conseguido introduzir marcas de água de IA em imagens que não eram geradas por IA.
O problema é que, quando se apresentam provas fotográficas, os malfeitores podem aplicar uma marca de água de IA numa tentativa de desacreditar as provas.
Teremos de ver como é que as marcas de água da Google e da Meta se comportam face aos ataques de força bruta da equipa de Feizi. Por agora, parece que temos de continuar a lembrar-nos que ver não é acreditar.