Desarrollador afirma haber hackeado el sistema de marcas de agua SynthID de Google DeepMind
Un desarrollador bajo el alias Aloshdenny afirmó haber hackeado SynthID, el sistema de marcas de agua ocultas de Google DeepMind para imágenes de AI. Según él,
Разработчик под ником Aloshdenny опубликовал на GitHub репозиторий с кодом, который, по его словам, позволяет обойти SynthID — систему скрытых водяных знаков Google DeepMind для маркировки AI-генерируемых изображений. Автор утверждает, что научился удалять водяные знаки с картинок или, напротив, вставлять их в любые изображения без разрешения Google. SynthID — разработка Google DeepMind, встроенная в Gemini и другие инструменты компании.
Технология незаметно для человеческого глаза модифицирует пиксели изображения, оставляя цифровую «подпись», которая должна выживать при сжатии, обрезке и других манипуляциях. Цель — дать возможность идентифицировать AI-контент даже спустя длительное время после публикации. В ноябре 2023 года Google представила SynthID публично, а с 2024 года водяные знаки начали применяться и к тексту.
Aloshdenny рассказал о своём методе в публикации на Medium. По его словам, для обратного инжиниринга не понадобились нейронные сети или закрытый доступ к инфраструктуре Google. Достаточно было сгенерировать 200 изображений через Gemini и применить методы обработки сигналов.
«Если ты безработный и усредняешь достаточно много чёрных AI-картинок, паттерн сам вылезет наружу» — примерно так он описывает свой процесс. Разработчик опубликовал код на GitHub под открытой лицензией и намеренно подчеркнул, что весь процесс легален: никакого взлома, только анализ общедоступных изображений. Google DeepMind отреагировала сдержанно: представители компании заявили, что описанный метод не является настоящим взломом SynthID.
По версии Google, Aloshdenny не получил доступ к самому алгоритму маркировки, а лишь научился воспроизводить поверхностные статистические паттерны, которые не эквивалентны настоящей подписи системы. Иными словами, Google настаивает: SynthID не скомпрометирован. Тем не менее этот эпизод обнажает принципиальную уязвимость самой идеи водяных знаков для AI-контента.
Если разработчик-одиночка с несколькими сотнями картинок способен хотя бы частично угадать паттерн маркировки, что помешает хорошо финансируемым командам сделать это на порядок эффективнее? Эксперты давно предупреждали: любая система водяных знаков, построенная на статистической регулярности в изображениях, теоретически уязвима для подобных атак. Дискуссия показательна ещё и потому, что водяные знаки AI-контента воспринимаются как один из ключевых инструментов будущего регулирования.
Европейский AI Act и ряд американских законопроектов предусматривают обязательную маркировку контента, сгенерированного искусственным интеллектом. Если такие системы могут быть обойдены любителем с ноутбуком и свободным временем, их практическая ценность как регуляторного инструмента вызывает серьёзные сомнения. Вопрос о том, насколько глубоко удалось разобраться в архитектуре SynthID, остаётся открытым — Google отрицает взлом, а независимой публичной экспертизы кода Aloshdenny пока не было.
Но сам факт того, что разработка подобного инструмента оказалась возможной с минимальными ресурсами, — уже серьёзный сигнал для всей индустрии.