Desenvolvedor afirma ter hackeado o sistema de marca d’água SynthID, do Google DeepMind

Um desenvolvedor com o nickname Aloshdenny publicou um repositório no GitHub com código que, segundo ele, permite contornar SynthID — o sistema de marca d'água oculta do Google DeepMind para marcar imagens geradas por IA. O autor afirma que aprendeu como remover marcas d'água de imagens ou, ao contrário, inseri-las em qualquer imagem sem permissão do Google. SynthID é um desenvolvimento do Google DeepMind, integrado no Gemini e outras ferramentas da empresa.

A tecnologia modifica imperceptivelmente os pixels da imagem, deixando uma "assinatura" digital que deve resistir à compressão, recorte e outras manipulações. O objetivo é possibilitar a identificação de conteúdo gerado por IA mesmo muito tempo após a publicação. Em novembro de 2023, o Google apresentou o SynthID publicamente, e desde 2024 as marcas d'água começaram a ser aplicadas também ao texto.

Aloshdenny compartilhou detalhes sobre seu método em uma publicação no Medium. Segundo ele, a engenharia reversa não exigiu redes neurais ou acesso fechado à infraestrutura do Google. Foi suficiente gerar 200 imagens através do Gemini e aplicar métodos de processamento de sinais.

"Se você está desempregado e faz a média de imagens de IA pretas suficientes, o padrão vai se revelar por si próprio" — é mais ou menos assim que ele descreve seu processo. O desenvolvedor publicou o código no GitHub sob uma licença aberta e deliberadamente enfatizou que todo o processo é legal: nenhuma invasão, apenas análise de imagens disponíveis publicamente. O Google DeepMind respondeu com cautela: representantes da empresa afirmaram que o método descrito não é um verdadeiro hack do SynthID.

De acordo com o Google, Aloshdenny não obteve acesso ao algoritmo de marcação real, mas apenas aprendeu a reproduzir padrões estatísticos superficiais que não são equivalentes à assinatura genuína do sistema. Em outras palavras, o Google insiste: SynthID não foi comprometido. No entanto, este episódio expõe uma vulnerabilidade fundamental na própria ideia de marcas d'água para conteúdo de IA.

Se um desenvolvedor solo com algumas centenas de imagens conseguir pelo menos adivinhar parcialmente o padrão de marcação, o que impediria equipes bem financiadas de fazer isso ordens de magnitude mais eficientemente? Especialistas há muito alertam: qualquer sistema de marca d'água construído sobre regularidade estatística em imagens é teoricamente vulnerável a esses ataques. A discussão é instrutiva também porque marcas d'água de conteúdo de IA são percebidas como uma das ferramentas-chave para a regulação futura.

A Lei de IA Europeia e vários projetos de lei americanos exigem marcação obrigatória de conteúdo gerado por IA. Se tais sistemas podem ser contornados por um amador com um laptop e tempo livre, seu valor prático como ferramenta regulatória levanta sérias dúvidas. A questão de quão profundamente alguém conseguiu entender a arquitetura do SynthID permanece em aberto — o Google nega um hack, e ainda não houve uma perícia pública independente do código de Aloshdenny.

Mas o fato em si de que desenvolver tal ferramenta se mostrou possível com recursos mínimos já é um sinal sério para toda a indústria.