Innhold Vis
Google DeepMinds SynthID er et system for å merke AI-genererte bilder med et usynlig digitalt vannmerke – og en utvikler kalt Aloshdenny hevder å ha knekket det. Han har lagt koden åpent ut på GitHub, skrevet om prosessen, og dokumentert alt. Google sier på sin side at påstanden ikke stemmer.
Saken er interessant av flere grunner. For det første: hva er SynthID egentlig, og hvordan fungerer det? For det andre: hva klarte Aloshdenny faktisk å gjøre – og hva klarte han ikke? Og til sist: hva forteller dette oss om hvor robust AI-vannmerking kan bli?
Jeg har gravd meg gjennom dokumentasjonen, GitHub-repoet og de tekniske analysene. Her er hva jeg fant.
Hva er SynthID?
SynthID ble utviklet av Google DeepMind i samarbeid med Google Research og Jigsberg. Systemet er ment å markere AI-generert innhold – bilder, video, lyd og tekst – med et usynlig digitalt vannmerke som ikke kan ses av det menneskelige øyet, men som kan oppdages algoritmisk.
For bilder fungerer det slik: i stedet for å legge til et synlig logo eller stempel etter at bildet er generert, er vannmerket vevd inn i selve pikslene under genereringsprosessen. Systemet bruker det som kalles spread-spectrum steganografi – en teknikk der informasjonen fordeles over mange frekvenskomponenter i bildet på en måte som holder seg godt selv etter komprimering, beskjæring og filtrering.
Enkelt sagt: SynthID velger oppløsningsavhengige bærefrekvenser i bildet, tildeler faste faseverdier til disse, og legger på et lært støymønster. Resultatet spres over hele bildet, umerkelig for øyet – men detekterbart for algoritmen. Google hevder systemet tåler vanlige bildemanipulasjoner som JPEG-komprimering, filtre og beskjæring.
Hva hevder Aloshdenny?
Utvikleren bak reverse-SynthID på GitHub hevder å ha klart tre ting:
- Oppdaget vannmerkets frekvensstruktur utelukkende gjennom signalanalyse – uten tilgang til Googles proprietære kode
- Bygget en detektor som identifiserer SynthID-vannmerker med 90 prosent nøyaktighet
- Utviklet en bypass (kalt V3) som oppnår 75 prosent bæreenergifall og 91 prosent fasekoherensfall
Utgangspunktet var 200 bilder generert av Gemini – ikke tilgang til Googles kode. Resten var signalbehandling og spektralanalyse. Prosjektet tok uker, 123 000 bildeparsammenligninger, og mye kaffe, ifølge Aloshdenny selv.
Den kritiske detaljen er hva slags bypass dette faktisk er. Aloshdenny er åpen om det: han klarte ikke å fjerne vannmerket. Det han klarte, var å forvirre Googles detektor nok til at den gir opp og ikke lenger flagger bildet som AI-generert. Til det menneskelige øyet ser bildet identisk ut – men Google-detektoren feiler.
Hva sier Google?
Google sier at påstanden ikke er sann. Selskapet bestrider at SynthID er blitt reverse-engineered på en meningsfull måte. Den offisielle posisjonen er at systemet fortsatt er robust og at de påviste resultatene ikke representerer en reell gjennombruddssvakhet.
Dette er et klassisk informasjonssikkerhetsscenario der den ene parten demonstrerer et proof-of-concept og den andre avviser det som ikke tilstrekkelig. Begge kan ha rett på hvert sitt vis: Aloshdenny viser at detektoren kan forstyrres under bestemte betingelser. Google hevder at systemet som helhet er robust nok til at dette ikke er en kritisk sårbarhet.
Det er verdt å merke seg at Aloshdenny selv skriver i repoet at formålet er «research and educational purposes» – og at han ikke kaller det en fullstendig ødeleggelse av vannmerket. Han kaller det en evasion rate, ikke en fjerning.
Hva sier de tekniske tallene?
La oss se på tallene Aloshdenny publiserte:
- 90 prosent nøyaktighet i å detektere SynthID-vannmerker
- 91 prosent fasekoherensfall i vannmerkesignalet etter bypass
- 75 prosent fall i bæreenergi
- 43+ dB PSNR (Peak Signal-to-Noise Ratio) – bildet forblir visuelt identisk
- Rundt 16 prosent evasion rate mot Googles V2-detektor
Det interessante med disse tallene er at de ikke forteller en enkel seierhistorie. 16 prosent evasion rate betyr at 84 prosent av forsøkene fortsatt blir flagget. Det er et stykke unna et gjennombrudd. Samtidig er det fakta at noen AI-genererte bilder kan passere detektoren ubemerket etter behandling – og det er godt nok til å vekke bekymring.
Er AI-vannmerking et meningsfullt sikkerhetsnett?
Det er egentlig det store spørsmålet her – ikke om Aloshdenny lyktes eller ikke.
SynthID er laget med en tydelig filosofi: i stedet for å prøve å gjøre vannmerket uknuselig, handler det om å heve kostnadene ved misbruk høyt nok til at de fleste ikke gidder. Det er en pragmatisk tilnærming. Systemet er ikke ment som en absolutt garanti – det er ment som en deterrence, en avskrekkingsmekanisme.
Som Google DeepMind selv har skrevet om SynthID: målet er å gjøre kostnadene ved misbruk høye nok til at de fleste ikke gidder. Systemet forventer at forsiktige angripere vil kunne prøve å omgå det. Spørsmålet er om kostnadene og innsatsen er høy nok til at det er verdt det for de aller fleste brukstilfeller.
For en gjennomsnittlig bruker som lurer på om et bilde er AI-generert, er SynthID fortsatt relevant. For noen som aktivt forsøker å lure detektoren, er det åpenbart mulig å redusere treffsannsynligheten – men ikke uten betydelig teknisk innsats. Det er på mange måter slik sikkerhetsmekanismer fungerer: de er aldri absolutte, men de er høyere enn ingen ting.
Hva betyr dette i praksis?
Det korte svaret er: AI-vannmerking er et nyttig verktøy, men det er ikke en sølvkule. Det gir provenans til innhold generert av Google-modeller, og gjør det mulig å verifisere opprinnelse i mange kontekster. Men det er ikke en uovervinnelig barriere, og bør ikke behandles som en.
Aloshdenny-saken demonstrerer noe vi egentlig visste fra starten: alle kryptografiske og steganografiske systemer er potensielt sårbare når metodikken blir tilstrekkelig kjent. Spørsmålet er ikke om det er mulig å omgå dem – det er alltid mulig gitt nok tid og ressurser – men om det er lett nok til at det skjer i stor skala.
Hva tenker du om AI-vannmerking som konsept? Er det tilstrekkelig, eller er det et falsk løfte? Les gjerne også artikkelen om hva Google DeepMind jobber med ellers – det gir litt mer kontekst til ambisjonene bak slike prosjekter.
