UnMarker: A Universal Attack on Defensive Image Watermarking

要約

ディープフェイクを作成するためのジェネレーティブ AI (GenAI) の悪用に関する報告が頻繁にあります。
防御的透かしにより、GenAI プロバイダーは画像内の指紋を隠し、後でディープフェイク検出に使用することができます。
しかし、その可能性はまだ十分に探究されていません。
私たちは、防御透かしに対する最初の実用的な普遍的な攻撃である UnMarker を紹介します。
既存の攻撃とは異なり、UnMarker は検出器のフィードバック、透かしスキームや同様のモデルに関する非現実的な知識、利用できない可能性のある高度なノイズ除去パイプラインを必要としません。
代わりに、堅牢なスキームがスペクトル振幅で透かしを構築する必要があることを明らかにした透かしパラダイムの詳細な分析の結果である UnMarker は、2 つの新しい敵対的最適化を採用して透かし入り画像のスペクトルを破壊し、透かしを消去します。
SOTA スキームに対する評価により、UnMarker の有効性が証明されています。
既存の攻撃と比較して優れた品質を維持しながら従来のスキームを破るだけでなく、画像の構造を変更するセマンティック ウォーターマークも破って、最高の検出率を $43\%$ に低下させ、それらを役に立たなくします。
私たちの知る限り、UnMarker は、将来の防御的透かしと考えられているセマンティック透かしに対する最初の実際的な攻撃です。
私たちの調査結果は、防御的透かしはディープフェイクに対する有効な防御策ではないことを示しており、コミュニティに代替案を検討するよう促しています。

要約(オリジナル)

Reports regarding the misuse of Generative AI (GenAI) to create deepfakes are frequent. Defensive watermarking enables GenAI providers to hide fingerprints in their images and use them later for deepfake detection. Yet, its potential has not been fully explored. We present UnMarker — the first practical universal attack on defensive watermarking. Unlike existing attacks, UnMarker requires no detector feedback, no unrealistic knowledge of the watermarking scheme or similar models, and no advanced denoising pipelines that may not be available. Instead, being the product of an in-depth analysis of the watermarking paradigm revealing that robust schemes must construct their watermarks in the spectral amplitudes, UnMarker employs two novel adversarial optimizations to disrupt the spectra of watermarked images, erasing the watermarks. Evaluations against SOTA schemes prove UnMarker’s effectiveness. It not only defeats traditional schemes while retaining superior quality compared to existing attacks but also breaks semantic watermarks that alter an image’s structure, reducing the best detection rate to $43\%$ and rendering them useless. To our knowledge, UnMarker is the first practical attack on semantic watermarks, which have been deemed the future of defensive watermarking. Our findings show that defensive watermarking is not a viable defense against deepfakes, and we urge the community to explore alternatives.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google