Open source untuk mendeteksi dan menghapus watermark SynthID Gemini lewat rekayasa balik

 (github.com/aloshdenny)
3 poin oleh GN⁺ 9 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Tanpa akses ke encoder/decoder SynthID milik Google, proyek ini merekonstruksi struktur watermark tak kasatmata pada gambar Gemini hanya dengan pemrosesan sinyal murni dan analisis spektrum
  • Temuan utama: SynthID menyisipkan carrier pada posisi frekuensi yang berbeda untuk tiap resolusi, dan di antara gambar yang dihasilkan model yang sama terdapat konsistensi template fase di atas 99,5% — pada praktiknya merupakan pola tetap
  • Metode JPEG compression dan injeksi noise yang ada menyebabkan penurunan kualitas besar, tetapi pendekatan pengurangan codebook spektrum multi-resolusi V3 mencapai penurunan konsistensi fase 91% sambil mempertahankan PSNR di atas 43dB
  • Profil per resolusi disimpan dalam codebook, lalu disesuaikan dengan gambar masukan untuk pemilihan otomatis → pengurangan di domain FFT → iterasi multi-pass guna menghapus watermark yang tersisa
  • Sinyal watermark paling kuat di kanal Green, dan penghapusan presisi dilakukan dengan menerapkan bobot per kanal (G=1.0, R=0.85, B=0.70)
  • Detektor mengeluarkan keberadaan watermark dan tingkat keyakinannya dengan akurasi 90%, menggunakan analisis multi-skala berbasis codebook
  • Proyek ini ditujukan untuk riset dan edukasi, dan dilarang digunakan untuk membuat gambar buatan AI disalahartikan sebagai buatan manusia
  • Ditulis dengan Python, dengan seluruh kode dibuka di GitHub

Bacaan terkait

1 komentar

 
GN⁺ 9 hari lalu
Opini Hacker News

  • Menyisipkan watermark 1-bit yang tak terdeteksi ke gambar berisi jutaan piksel sebenarnya tidak terlalu sulit
    Jika diasumsikan Google cukup kompeten, kemungkinan mereka memakai dua jenis watermark — satu versi longgar yang dipublikasikan ke luar, dan satu lagi versi privat untuk internal atau permintaan penegakan hukum
    Selain itu, jika Google yang melakukannya, kemungkinan semua gambar yang dihasilkan (atau neural hash-nya) akan disimpan di database dan dikaitkan dengan akun

    • Strategi watermark ganda ini sangat masuk akal dari sudut pandang defensive engineering
      Mengasumsikan lapisan eksternal pada akhirnya akan ditembus, lalu tetap mempertahankan lapisan kedua yang tidak bisa diuji secara publik, adalah prinsip dasar keamanan
      Namun, dengan model yang terus diperbarui dan punya sifat non-deterministic, saya penasaran apakah pengguna benar-benar bisa membuktikannya

  • Kualitas repo ini rendah jika disebut sebagai riset berbantuan AI, dan juga tidak membandingkannya dengan detektor SynthID milik Google secara layak
    Sebenarnya, hanya dengan bantuan LLM pun, orang bisa melakukan reverse engineering pada request jaringan dan mengimplementasikan deteksi SynthID tanpa browser atau Gemini. Itu yang seharusnya menjadi ground truth sesungguhnya

    • Di HN sering ada komentar yang bilang “ini tidak sulit”, tapi hampir tidak pernah ada POC atau tautan riset
      Juga sering terlihat serangan ke sumber atau meremehkannya dengan bilang “ini ditulis AI”
      Belakangan komunitas HN terasa makin berubah menjadi anti alat AI

  • Hari ini saya merasa melihat watermark pada gambar yang dibuat dengan Nano Banana
    Saya menyalin gambar dari Chrome ke Slack, dan hasilnya hanya terlihat sebagai kotak hitam dengan titik merah

    • Saya juga pernah mengalami hal serupa, tapi belakangan sadar itu ternyata titik-titik coretan di atas screenshot yang ikut tersalin
      Saya penasaran apakah mungkin itu jenis kesalahan yang sama

  • Saya memang tahu pada akhirnya seseorang akan membuat hal seperti ini, tapi saya tidak paham kenapa orang sengaja ingin menghilangkan sarana deteksi gambar hasil AI

    • Penyerang pada akhirnya akan melakukan hal yang sama juga, dan seperti berbagi kerentanan keamanan, peneliti yang berniat baik juga perlu mengetahuinya
      Kalau hanya pihak jahat yang tahu, justru lebih berbahaya
    • Dulu alat seperti ini praktis hanya bisa dipakai segelintir orang, tapi sekarang semua orang jadi tahu bahwa itu memungkinkan
    • Pada dasarnya SynthID adalah sinyal yang samar (fuzzy signal)
      Publik tidak memahami logika biner seperti “tidak ada watermark berarti gambar ini asli”
      Pada akhirnya AI watermarking memang ditakdirkan gagal
      Lagi pula, di masa lalu kita juga tidak menempelkan watermark tak terlihat pada media yang dimanipulasi — ini lebih merupakan persoalan filosofi daripada teknologi
    • Pada akhirnya tujuannya adalah membuat gambar palsu terlihat asli
    • Sebenarnya hal seperti ini sudah lama memungkinkan
      Jika menjalankan Stable Diffusion dengan denoising strength rendah, watermark hampir hilang
      Laporan kali ini katanya menawarkan metode yang lebih tidak merusak, tetapi melihat jejak tulisan AI di README, sulit untuk mempercayainya

  • SynthID terlihat cukup jelas pada beberapa gambar, terutama di area dengan banyak tepi atau teks
    Saya penasaran apakah metode dalam repo ini bisa membuat bagian seperti itu terlihat lebih alami

    • Ada fenomena bahwa semakin sering melakukan edit dengan Nano Banana, watermark justru makin terlihat jelas

  • Dari README, jejak Claude terlihat terlalu jelas
    Dinding tabelnya tidak sejajar, dan struktur kalimatnya juga khas pola Claude

    • Daftar yang hanya memakai kurung dan koma tanpa “and” juga merupakan ciri khas Claude
    • Ini benar-benar bencana tabel Unicode
      Meniru tabel ASCII tetapi lebar karakternya berbeda-beda sehingga barisnya tidak sejajar
      Bahkan ada error off-by-one juga
      Saya punya firasat bahwa pada 2037 pun kita masih akan melihat tabel Unicode yang tidak sejajar
    • Hanya dari isi README saja sudah jelas bahwa ini ditulis oleh Claude

  • Repo ini menguji performa penghapusan watermark hanya dengan detektor buatannya sendiri
    Justru tidak divalidasi dengan aplikasi SynthID milik Google, jadi tidak banyak artinya

  • Dalam penjelasan proyek tertulis “jangan menipu dengan membuat konten hasil AI seolah-olah buatan manusia”, tetapi yang benar-benar didistribusikan justru alat CLI penghapus watermark
    Nama pengaturan seperti “aggressive” dan “maximum” juga sangat terang-terangan
    README tampak seperti output AI mentah yang tidak diedit, isinya berulang dan strukturnya juga berantakan

    • V1 dan V2 hanya muncul di tabel tanpa penjelasan
    • Angka seperti “Detection Rate: 90%” tidak punya dasar, dan “License: Research” bahkan tidak punya tautan
    • Gambar uji hanya 88 buah, dan CI maupun test suite juga tidak ada
    • Contoh kodenya pun memakai dua gaya import berbeda sehingga salah satunya memunculkan error
    • Jika Google mengubah SynthID, tidak ada cara untuk tahu bahwa codebook-nya sudah usang
      Ide dasarnya sendiri menarik (carrier yang bergantung pada resolusi, konsistensi fase antar gambar), tetapi packaging-nya merusak kepercayaan
    • Setuju. Alat seperti ini punya potensi penyalahgunaan yang besar, dan masyarakat harus bisa membedakan konten hasil AI dengan jelas

  • Jika gambar di-downscale lalu di-upscale, watermark akan hilang

  • Sebenarnya memang tidak sesulit itu
    Ada tulisan terkait di blog deepwalker.xyz