Invisible Image Watermarks Are Provably Removable Using Generative AI

要約

目に見えない透かしは、所有者のみが検出できる隠されたメッセージを埋め込むことで画像の著作権を保護します。
また、画像、特に AI モデルによって生成された画像の悪用も防ぎます。
私たちは、これらの目に見えないウォーターマークを除去するための一連の再生攻撃を提案します。
提案された攻撃手法は、まず画像にランダムノイズを加えて透かしを破壊し、その後画像を再構成します。
このアプローチは柔軟であり、多くの既存の画像ノイズ除去アルゴリズムや拡散モデルなどの事前トレーニングされた生成モデルを使用してインスタンス化できます。
正式な証明と広範な経験的評価を通じて、ピクセルレベルの目に見えない透かしがこの再生成攻撃に対して脆弱であることを実証します。
私たちの結果は、4 つの異なるピクセル レベルの透かし埋め込みスキームにわたって、提案された手法が既存の攻撃手法と比較して一貫して優れたパフォーマンスを達成し、検出率が低く、画質が高いことを明らかにしました。
ただし、画像を意味的に類似したものに保つ透かしは、攻撃に対する代替防御手段となる可能性があります。
私たちの発見は、研究/業界の重点を目に見えない透かしから意味を保持する透かしに移行する必要性を強調しています。
コードは https://github.com/XuandongZhao/Watermark Attacker で入手できます。

要約(オリジナル)

Invisible watermarks safeguard images’ copyrights by embedding hidden messages only detectable by owners. They also prevent people from misusing images, especially those generated by AI models. We propose a family of regeneration attacks to remove these invisible watermarks. The proposed attack method first adds random noise to an image to destroy the watermark and then reconstructs the image. This approach is flexible and can be instantiated with many existing image-denoising algorithms and pre-trained generative models such as diffusion models. Through formal proofs and extensive empirical evaluations, we demonstrate that pixel-level invisible watermarks are vulnerable to this regeneration attack. Our results reveal that, across four different pixel-level watermarking schemes, the proposed method consistently achieves superior performance compared to existing attack techniques, with lower detection rates and higher image quality. However, watermarks that keep the image semantically similar can be an alternative defense against our attacks. Our finding underscores the need for a shift in research/industry emphasis from invisible watermarks to semantic-preserving watermarks. Code is available at https://github.com/XuandongZhao/WatermarkAttacker

arxiv情報

提供元, 利用サービス

arxiv.jp, Google