AI-afbeeldingslabelwatermerken zijn eenvoudig te manipuleren

Computergebruik

Redactieteam van de website voor technologische innovatie - 07/03/2025

Links is een echte afbeelding te zien. De onderzoekers hebben er een semantisch watermerk op aangebracht, wat moet bewijzen dat het door AI is gegenereerd. Het resultaat is rechts zichtbaar. De toevoeging van het watermerk liet vrijwel geen spoor achter op de afbeelding. [Afbeelding: MS COCO Dataset]

Semantisch watermerk

Als u afhankelijk bent van watermerken (zichtbare of onzichtbare markeringen die in afbeeldingsbestanden zijn ingesloten) om te controleren of een afbeelding door AI is gegenereerd, wilt u wellicht op zoek naar nieuwe manieren om de afbeelding te verifiëren.

"We hebben aangetoond dat aanvallers semantische watermerken kunnen vervalsen of volledig kunnen verwijderen met verrassend eenvoudige methoden", aldus Andreas Müller van de Ruhr-Universität Bochum in Duitsland.

Zogenaamde semantische watermerken, die diep in het beeldgeneratieproces zelf verankerd zijn, worden als bijzonder robuust en moeilijk te verwijderen beschouwd. Maar het team heeft fundamentele beveiligingslekken ontdekt in de technieken voor het genereren van deze zogenaamd robuuste watermerken.

De onderzoekers ontdekten twee aanvalsstrategieën. De eerste methode, een zogenaamde imprinting-aanval, werkt op het niveau van latente representaties, dat wil zeggen de onderliggende digitale handtekening van een afbeelding waarop AI-beeldgeneratoren werken. De verborgen representatie van een echte afbeelding – de onderliggende digitale structuur, zeg maar – wordt opzettelijk aangepast om te lijken op die van een afbeelding met een watermerk.

Dit maakt het mogelijk om het watermerk over te brengen op elke echte afbeelding, zelfs als de referentieafbeelding oorspronkelijk uitsluitend door AI is gegenereerd. Een aanvaller kan een AI-provider er dus toe verleiden om elke afbeelding met een watermerk – en dus kunstmatig gegenereerd – te laten lijken, waardoor echte afbeeldingen er nep uitzien.

"De tweede methode, de recommand-aanval, maakt gebruik van de mogelijkheid om een ​​afbeelding met watermerk terug te sturen naar de latente ruimte en deze vervolgens te regenereren met een nieuwe opdracht. Dit resulteert in nieuw gegenereerde, willekeurige afbeeldingen met hetzelfde watermerk", legt professor Erwin Quiring uit.

Illustratie van aanvalstechnieken. [Afbeelding: Andreas Müller et al. (2025)]

Weerloos

Om het nog erger te maken, vereisen beide aanvallen slechts één referentie-image met het doelwatermerk; ze kunnen worden uitgevoerd op verschillende modelarchitecturen; en ze werken zowel op oudere UNet-gebaseerde systemen als op nieuwere diffusietransformatoren. Deze flexibiliteit tussen modellen maakt de kwetsbaarheden bijzonder zorgwekkend.

Volgens de onderzoekers zijn de gevolgen van deze kwetsbaarheid verstrekkend: er zijn momenteel geen effectieve verdedigingen tegen beide aanvallen. "Dit roept de vraag op hoe we in de toekomst AI-gegenereerde content veilig kunnen labelen en authenticeren", aldus Müller, eraan toevoegend dat de huidige aanpak van semantische watermerken fundamenteel moet worden herzien om vertrouwen en veerkracht op de lange termijn te waarborgen.

Ander nieuws over:

Meer onderwerpen