โอเพนซอร์สสำหรับตรวจจับและลบลายน้ำ SynthID ของ Gemini ด้วยการทำวิศวกรรมย้อนกลับ

 (github.com/aloshdenny)
3 คะแนน โดย GN⁺ 18 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • โดย ไม่ต้องเข้าถึงตัวเข้ารหัส/ถอดรหัส SynthID ของ Google ก็สามารถกู้คืนโครงสร้างลายน้ำที่มองไม่เห็นของภาพจาก Gemini ได้ด้วยการประมวลผลสัญญาณและการวิเคราะห์สเปกตรัมล้วน ๆ
  • การค้นพบหลัก: SynthID จะ แทรกพาหะไว้ในตำแหน่งความถี่ที่ต่างกันในแต่ละความละเอียด และมี ความสอดคล้องของเทมเพลตเฟสเกิน 99.5% ระหว่างภาพที่สร้างจากโมเดลเดียวกัน — แทบจะเป็นแพตเทิร์นคงที่
  • วิธีเดิมอย่างการบีบอัด JPEG และการใส่นอยส์ทำให้คุณภาพลดลงมาก แต่แนวทาง การลบด้วยโค้ดบุ๊กสเปกตรัมหลายความละเอียด V3 สามารถรักษา PSNR ไว้ที่ 43dB ขึ้นไป พร้อมทำให้ ความสอดคล้องของเฟสลดลง 91%
  • จัดเก็บโปรไฟล์ตามความละเอียดไว้ในโค้ดบุ๊ก แล้วเลือกให้ตรงกับภาพนำเข้าแบบอัตโนมัติ ก่อนทำ การลบในโดเมน FFT → วนซ้ำหลายพาส เพื่อลบลายน้ำที่เหลืออยู่
  • สัญญาณลายน้ำแรงที่สุดใน ช่องสีเขียว และใช้ค่าน้ำหนักรายช่องสี (G=1.0, R=0.85, B=0.70) เพื่อการลบอย่างแม่นยำ
  • ตัวตรวจจับให้ผล ความแม่นยำ 90% ในการระบุว่ามีลายน้ำหรือไม่และระดับความเชื่อมั่น โดยใช้การวิเคราะห์หลายสเกลแบบอิงโค้ดบุ๊ก
  • เป็นโครงการเพื่อการวิจัยและการศึกษา โดย ห้ามใช้เพื่อทำให้ภาพที่สร้างด้วย AI ถูกเข้าใจผิดว่าเป็นผลงานของมนุษย์
  • เขียนด้วย Python และเปิดเผยโค้ดทั้งหมดบน GitHub

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 18 일 전
ความคิดเห็นบน Hacker News

  • การฝัง ลายน้ำแบบ 1 บิตที่ตรวจจับไม่ได้ ลงในภาพที่มีหลายล้านพิกเซลไม่ใช่เรื่องยากนัก
    ถ้าสมมติว่า Google เก่งพอ ก็น่าจะใช้ลายน้ำสองแบบ — แบบหนึ่งเป็นเวอร์ชันหลวม ๆ ที่เปิดเผยภายนอก และอีกแบบน่าจะเป็น เวอร์ชันไม่เปิดเผยสำหรับใช้งานภายในหรือรองรับคำขอจากหน่วยงานบังคับใช้กฎหมาย
    ยิ่งไปกว่านั้น ถ้าเป็น Google ก็น่าจะเก็บภาพที่สร้างทั้งหมด (หรือ neural hash ของมัน) ไว้ในฐานข้อมูลโดยผูกกับบัญชีผู้ใช้

    • กลยุทธ์ลายน้ำสองชั้นนี้สมเหตุสมผลมากในมุมมองของ defensive engineering
      การตั้งสมมติฐานว่าชั้นภายนอกจะถูกเจาะได้ และยังคงมีชั้นที่สองซึ่งสาธารณะไม่สามารถทดสอบได้ เป็นหลักการพื้นฐานของความปลอดภัย
      แต่เมื่อโมเดลถูกสร้างใหม่อยู่เรื่อย ๆ และมีคุณสมบัติแบบ ไม่กำหนดแน่นอน (non-deterministic) ก็สงสัยว่าผู้ใช้จะพิสูจน์สิ่งนั้นได้หรือไม่

  • รีโปนี้คุณภาพต่ำเกินกว่าจะเรียกว่าเป็น งานวิจัยที่มี AI ช่วย และก็ไม่ได้เทียบกับตัวตรวจจับ SynthID ของ Google อย่างเหมาะสมด้วย
    จริง ๆ แล้วแค่ใช้ความช่วยเหลือจาก LLM ก็สามารถ reverse engineer คำขอเครือข่าย แล้วทำระบบตรวจจับ SynthID ได้โดยไม่ต้องใช้เบราว์เซอร์หรือ Gemini เลย นั่นต่างหากที่จะเป็น ground truth ที่แท้จริง

    • มักเห็นคอมเมนต์บน HN ที่บอกว่า “นี่ไม่ยากหรอก” อยู่บ่อย ๆ แต่แทบไม่มี POC หรือลิงก์งานวิจัย ตามมาเลย
      อีกทั้งยังชอบโจมตีแหล่งที่มาหรือดูถูกว่า “AI เขียน”
      ช่วงนี้ชุมชน HN ให้ความรู้สึกเหมือนกำลังกลายเป็นพื้นที่ เกลียดเครื่องมือ AI มากขึ้นเรื่อย ๆ

  • วันนี้เหมือนจะเห็นลายน้ำในภาพที่สร้างด้วย Nano Banana
    ผมคัดลอกรูปจาก Chrome ไป Slack แล้วผลลัพธ์ออกมาเป็นแค่ สี่เหลี่ยมสีดำกับจุดสีแดง

    • ผมก็เคยเจอคล้าย ๆ กัน แต่สุดท้ายพบว่าเป็นจุดที่ขีดไว้บนสกรีนช็อตถูกคัดลอกไปด้วย
      เลยสงสัยว่าอาจเป็นความผิดพลาดแบบนั้นหรือเปล่า

  • รู้อยู่แล้วว่าสุดท้ายต้องมีคนทำอะไรแบบนี้ออกมา แต่ไม่เข้าใจว่าทำไมถึงจงใจพยายามลบ วิธีตรวจจับภาพที่สร้างโดย AI ออกไป

    • ฝั่งผู้โจมตีก็จะทำแบบเดียวกันอยู่ดี และเช่นเดียวกับการ เปิดเผยช่องโหว่ความปลอดภัย นักวิจัยที่มีเจตนาดีก็ควรรู้เรื่องนี้ด้วย
      ถ้ามีแต่ฝั่งไม่ดีที่รู้ ก็จะยิ่งอันตรายกว่าเดิม
    • เดิมทีเครื่องมือแบบนี้ก็มีแค่คนบางกลุ่มที่เข้าถึงได้ แต่ตอนนี้ทุกคนรู้แล้วว่ามันเป็นไปได้
    • โดยพื้นฐานแล้ว SynthID เป็น สัญญาณที่คลุมเครือ (fuzzy signal)
      คนทั่วไปไม่เข้าใจตรรกะแบบ ทวิภาค ว่า “ไม่มีลายน้ำ แปลว่าเป็นภาพจริง”
      สุดท้ายแล้วการทำลายน้ำให้ AI ก็มีแต่จะล้มเหลว
      ยิ่งกว่านั้น ในอดีตก็ไม่เคยติด ลายน้ำที่มองไม่เห็น ให้กับสื่อที่ถูกดัดแปลง — นี่เป็นปัญหาเชิงปรัชญามากกว่าเชิงเทคโนโลยี
    • สุดท้ายเป้าหมายก็คือทำให้ ภาพปลอมดูเหมือนภาพจริง
    • จริง ๆ เรื่องแบบนี้ทำได้มานานแล้ว
      ถ้าใช้ Stable Diffusion ด้วย denoising strength ต่ำ ลายน้ำก็แทบจะหายไปเอง
      รายงานนี้อ้างว่าเสนอวิธีที่ทำลายน้อยกว่านั้น แต่พอเห็น ร่องรอยว่า README ถูกเขียนด้วย AI แล้วก็ไม่น่าเชื่อถือ

  • SynthID มองเห็นได้ค่อนข้างชัดในภาพบางแบบ (โดยเฉพาะ บริเวณที่มีขอบหรือข้อความเยอะ)
    เลยสงสัยว่าวิธีในรีโปนี้จะทำให้ส่วนพวกนั้นดูเป็นธรรมชาติขึ้นได้ไหม

    • ยิ่งแก้ไขด้วย Nano Banana ซ้ำ ๆ ก็ยิ่งมีอาการที่ลายน้ำ เด่นชัดขึ้นเรื่อย ๆ

  • ดูจาก README แล้ว ร่องรอยของ Claude ชัดมาก
    ขอบตารางไม่ตรงกัน และโครงสร้างประโยคก็เป็นแพตเทิร์นเฉพาะของ Claude

    • การไล่รายการด้วยวงเล็บและจุลภาคอย่างเดียวโดยไม่ใช้ “and” ก็เป็นลักษณะเด่นของ Claude เช่นกัน
    • นี่มัน มหันตภัยตารางยูนิโค้ด ชัด ๆ
      พยายามเลียนแบบตาราง ASCII แต่ความกว้างตัวอักษรไม่เท่ากันเลยทำให้บรรทัดไม่ตรง
      แถมยังมีข้อผิดพลาดแบบ off-by-one อีก
      มีลางว่าพอถึงปี 2037 เราก็คงยังต้องมองตารางยูนิโค้ดที่จัดไม่ตรงแบบนี้อยู่ดี
    • แค่อ่าน README ก็ชัดเจนแล้วว่า Claude เป็นคนเขียน

  • รีโปนี้ทดสอบประสิทธิภาพการลบลายน้ำของตัวเองด้วย ตัวตรวจจับของตัวเองเท่านั้น
    แต่กลับไม่ตรวจสอบด้วยแอป SynthID ของ Google จึงแทบไม่มีความหมาย

  • ในคำอธิบายโปรเจกต์เขียนว่า “อย่าทำให้เนื้อหาที่ AI สร้างดูเหมือนมนุษย์สร้าง” แต่ในทางปฏิบัติกลับแจก เครื่องมือ CLI สำหรับลบลายน้ำ
    ชื่อค่าตั้งอย่าง “aggressive”, “maximum” ก็ชัดเจนเกินไป
    README ดูเหมือนผลลัพธ์จาก AI ที่ยังไม่ได้แก้ไข ทั้งเนื้อหาซ้ำและโครงสร้างก็หลวม ๆ

    • V1, V2 โผล่อยู่แค่ในตารางแต่ไม่มีคำอธิบาย
    • ตัวเลขอย่าง “Detection Rate: 90%” ไม่มีหลักฐานรองรับ และ “License: Research” ก็ไม่มีแม้แต่ลิงก์
    • มีภาพทดสอบแค่ 88 ภาพ และ ไม่มีทั้ง CI หรือ test suite
    • ตัวอย่างโค้ดก็ใช้ import คนละสไตล์กัน ทำให้อันหนึ่งรันแล้ว error
    • ถ้า Google เปลี่ยน SynthID ก็ไม่มีทางรู้ได้เลยว่า codebook ล้าสมัยไปแล้วหรือยัง
      แนวคิดพื้นฐาน (carrier ที่ขึ้นกับความละเอียด, ความสอดคล้องของเฟสข้ามภาพ) น่าสนใจ แต่ การแพ็กเกจทำลายความน่าเชื่อถือ
    • เห็นด้วย เครื่องมือแบบนี้ มีโอกาสถูกนำไปใช้ในทางที่ผิด สูง และสังคมควรจะแยกแยะเนื้อหาที่ AI สร้างได้อย่างชัดเจน

  • ถ้า ย่อภาพแล้วขยายกลับ ลายน้ำก็จะหายไป

  • จริง ๆ แล้วมันไม่ได้ยากขนาดนั้น
    มีบทความที่เกี่ยวข้องอยู่ใน บล็อก deepwalker.xyz