SynthID złamany? Google zaprzecza, kod już jest na GitHubie
- Deweloper ukrywający się pod nickiem Aloshdenny opublikował na GitHubie kod, który rzekomo potrafi usuwać i wstawiać watermarki SynthID z obrazów generowanych przez AI.
- Google DeepMind oficjalnie zaprzecza, że system został złamany i kwestionuje skuteczność opublikowanego narzędzia.
- Sprawa ujawnia fundamentalne napięcie między systemami oznaczania treści AI a ich praktyczną odpornością na manipulację.
Deweloper o nicku Aloshdenny opublikował na GitHubie kod, który według niego pozwala zarówno usuwać watermarki SynthID z obrazów generowanych przez AI, jak i wstrzykiwać je do zdjęć niemających nic wspólnego z generatywną sztuczną inteligencją. Google odpowiedziało krótko: to nieprawda.
SynthID miał być odpowiedzią na deepfake’i
SynthID to system Google DeepMind wbudowany bezpośrednio w modele generowania obrazów — watermark nie jest nakładką, lecz częścią samego procesu generowania pikseli. Firma promowała go jako narzędzie, które przeżywa kadrowanie, filtry i kompresję JPEG. Idea była prosta: każdy obraz z Imagen czy innych narzędzi Google niesie ze sobą niewidoczny podpis, który można zweryfikować.
Aloshdenny twierdzi, że ten podpis da się odczytać, skopiować i przenieść. Jeśli ma rację, każde zdjęcie — choćby zrobione smartfonem — można by opatrzyć watermarkiem SynthID i przedstawić jako wygenerowane przez AI. Albo odwrotnie: obraz z Imagen można by oczyścić z podpisu i serwować jako ludzką twórczość.
Czy Google mówi całą prawdę?
Firma nie opublikowała technicznej analizy obalającej twierdzenia dewelopera. Zaprzeczenie brzmi bardziej jak komunikat PR niż inżynierska riposta. Brak szczegółów to problem — zwłaszcza że kod już krąży w sieci i każdy może go odpalić samodzielnie.
SynthID działa na zasadzie steganografii statystycznej: watermark jest rozproszony po całym obrazie jako subtelne odchylenia w wartościach pikseli. Żeby go usunąć lub sfałszować, trzeba znać schemat kodowania. Aloshdenny twierdzi, że ten schemat zdołał odtworzyć przez inżynierię wsteczną — Google twierdzi, że nie do końca.
Prawda leży gdzieś w środku: nawet częściowe złamanie systemu, które działa w 70% przypadków, jest poważnym problemem dla infrastruktury weryfikacji treści.
Stawka jest wyższa niż jeden watermark
SynthID nie jest izolowanym projektem. Google DeepMind współpracuje przy standardach C2PA (Coalition for Content Provenance & Authenticity), do której należą też Adobe, Microsoft i Meta. Cały ekosystem weryfikacji autentyczności obrazów opiera się na założeniu, że watermarki są odporne na manipulację.
Jeśli Aloshdenny ma choćby częściową rację, pojawia się efekt odwrotny do zamierzonego: system zaprojektowany do identyfikacji AI-generowanych treści staje się narzędziem do ich fałszowania. Można by nim podpisać archiwalne zdjęcia prasowe jako „wygenerowane przez AI” i podważać ich wiarygodność.
To nie jest teoretyczny problem. Kilka miesięcy temu podobna podatność w systemie watermarkingu Stable Diffusion pozwoliła badaczom z University of Maryland usunąć oznaczenia z ponad 90% testowanych obrazów przy pomocy prostego ataku adwersarialnego.
Kod jest publiczny. Co teraz?
Aloshdenny wrzucił repozytorium na GitHuba z pełną dokumentacją. Niezależnie od tego, czy Google ma rację, że system nie został złamany — sam fakt istnienia takiego kodu zmusza DeepMind do reakcji technicznej, nie tylko komunikacyjnej.
Społeczność bezpieczeństwa już sprawdza kod. W ciągu kilku dni pojawią się niezależne analizy potwierdzające lub obalające twierdzenia dewelopera. Google ma krótkie okno, żeby albo udowodnić odporność SynthID konkretnymi danymi, albo cicho wrzucić update do systemu.
SynthID obsługuje miliony obrazów generowanych przez narzędzia Google miesięcznie. Jeśli watermark można usunąć lub podrobić, każda treść zweryfikowana tym systemem cofa się do statusu „nieznanego pochodzenia”.”, “coverImageAlt”: “Ilustracja przedstawiająca cyfrowy obraz z niewidocznym watermarkiem i kodem źródłowym w tle
