Re: [問題] 各大圖站真的沒辦法防止AI洗圖嗎？

作者Cubelia (大胸智乃)

看板C_Chat

標題Re: [問題] 各大圖站真的沒辦法防止AI洗圖嗎？

時間Tue Oct 18 18:30:22 2022

如果AI軟體生圖時可以額外加上數位浮水印去做辨識不是圖片上面直接蓋上Generated by xxxxxAI或是簽章這種很明顯的而是用傅立葉變換(例如DFT、DCT)將圖片轉換成頻譜圖，再將浮水印蓋上去最後將修改過的頻譜圖還原回原圖，這方式俗稱數位浮水印這是其中一個github上的repo，裡面的示範很好懂 https://github.com/guofei9987/blind_watermark/blob/master/README_cn.md 修改過的原圖以肉眼看十分正常列印出來或是用螢幕看都和原圖幾乎沒有差別但只要有電子檔就可以丟回去跑傅立葉變換，頻譜圖出來一刀斃命頻譜圖上的浮水印也不是那麼簡單就可以去除，所以幾乎是萬無一失就算你將原圖做修圖或是破壞性裁切也能還原出浮水印除非你直接用相機拍下螢幕(genius) 這技術在台灣好像比較少人討論，但中國企業曾經出現用這種原理抓內鬼的方式實際可以用的軟體已經有人用Python寫出來了，叫做blind-watermark 上面的github repo就是其中一個解決方案這篇中國的技術解說文比較詳細，包含各種攻擊方法都有列出答案:阿里巴巴公司根據截圖查到洩漏訊息的具提員工的技術是什麼? https://www.zhihu.com/question/50735753 (中國網站，不喜勿入) 要是能達成共識，公開的AI製圖軟體都用類似的方式嵌入浮水印然後P網之類的插圖交流網站也能導入自動偵測，強制將其分類為AI tag 如此就能解決當前一大半的AI圖洗板問題不過不知道每一張圖都要算FFT會不會讓伺服器過載，還有請高人解說但這又會出現灰色地帶的營利方式例如會有人提供以付費解鎖的方式提供不嵌入浮水印的AI製圖軟體或是付費解鎖無浮水印版圖片(THE "僅供學術使用") ========================== 簡單來說數位浮水印的可行性是最高的(因為這是早就已經有的技術) 算出來的圖片也幾乎無法偽造、竄改，只要原圖還在就能辨識出來當然這就只是一個方案而已，看有沒有隱匿性更高的浮水印畢竟現在沒有任何強制性的規範要你做防盜唯一繞過的方式就上面提到的AI不去嵌入數位浮水印(這就幹話) 下面有鄉民提出可以再將圖片丟進不加浮水印的AI，這也是一個破解方法但截圖、調整大小、破壞性裁切是沒有辦法破解的下面鄉民有提到stablediffusion預設是會加上浮水印避免AI用AI算出來的圖去學習，這個出發點也不錯 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.173.161.139 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1666089026.A.4E1.html

推 diabolica: 繞過 10/18 18:31

推 the992255: 會不會出現破解數位浮水印的軟體？ 10/18 18:33

推 senas: 除非有立法否則哪間公司那麼無聊自己加浮水印 10/18 18:33

推 SylphWind: 縮放大小就破壞掉浮水印了？ 10/18 18:35

→ goliath: 重點也的確是規範使用者啊目前最需要的 10/18 18:35

推 after1: 可以偵測，那就可以刪除了啦 10/18 18:35

→ spfy: 除非解的方式非常麻煩不然一定會有自動化工具的 10/18 18:36

推 Jamesyuu: FFT算起來很快的如果廠商有意願就可以做 10/18 18:37

→ nyanpasu: 再img2img就好10秒破解 10/18 18:37

推 overdoingism: 這技術存在很久了，可能有20年了 10/18 18:37

→ Cubelia: 知乎那篇有示範伸縮攻擊了，這個就是縮放 10/18 18:38

推 HappyKH: 等真實繪師折損的差不多才會反思然後做出協定啦 10/18 18:38

推 smart0eddie: i2i 能防？ 10/18 18:39

推 ken1990710: 拿沒浮水印的AI重繪不就好了 10/18 18:39

→ Cubelia: 現在AI算圖進步得很快，要是最新的版本生出一個騷圖 10/18 18:42

→ Cubelia: 但新版有浮水印，你用舊版下去跑這圖就不騷了阿 10/18 18:42

推 MeIKo8502: 不懂原理好奇螢幕截圖能破解嗎 10/18 18:42

→ Cubelia: 這只是範例而已，拋磚引玉，看有沒有高手能提供隱藏性 10/18 18:43

→ Cubelia: 更高的手法，FFT能做的範圍太大了 10/18 18:43

→ Cubelia: 直接print screen無法破解 10/18 18:43

推 asd823: 問題是AI網站幹嘛理你？ 10/18 18:46

推 smart0eddie: 直接丟進另一個auto encoder 出來以後還會在嗎 10/18 18:47

→ smart0eddie: 或者乾脆就用某些人最愛說的拼貼重新拼一次 10/18 18:47

→ Cubelia: 我也沒說AI網站一定要理我啊，so what 10/18 18:47

→ Cubelia: 就是一個方案而已，如果程式碼開源那也能直接關掉 10/18 18:49

推 asd823: 如果要純討論技術JPG壓縮有機會把雜訊濾掉，所以經過世代 10/18 18:50

→ asd823: 推移，AI就會變成真的(? 10/18 18:50

推 pionlang5566: 這個只能嚇沒看過的人你都知道訊息藏在頻率空間了 10/18 18:52

→ pionlang5566: 傅立葉變換完把雜訊加在頻率空間就蓋掉了 10/18 18:52

→ nyanpasu: 只能釣魚而已對銷售跟防盜一點用也沒有用yt fb早用了 10/18 18:53

推 kaj1983: 這招在企業用很危險吧，浮水印抹不掉的話，那印上去的是 10/18 18:53

推 raincole: 如果別人知道就能消掉啊你能加頻域浮水印 10/18 18:53

→ asd823: 另外經過user之手的任何資訊都不能相信，這在搞下去只能用 10/18 18:53

→ asd823: 數位簽章，但也只能證明出自誰，無法證明是不是AI 10/18 18:53

→ kaj1983: 公司機密也可以了吧 10/18 18:53

→ raincole: 當然就可以加頻域雜訊消去浮水印而且你最後一句非常奇 10/18 18:54

→ raincole: 妙，什麼叫做 AI 製圖軟體「最後」不嵌入數位浮水印 10/18 18:54

→ raincole: 目前沒聽過任何一家 AI 有決定要做頻域浮水印吧 10/18 18:54

→ raincole: 你講得好像是目前已經有浮水印只怕 AI 公司最後拿掉一樣 10/18 18:55

→ Cubelia: 我從來就沒有說一定必須用這個方法，就提出一個方案而已 10/18 18:55

→ Cubelia: 但確實我的表達方式不好，我等等修一下內文 10/18 18:56

推 meatybobby: 現在的SD其實預設是都有放數位浮水印的喔 10/18 19:00

推 yellowhow: 沒法規就很難叫廠商自我規律...更別說源碼也散了 10/18 19:01

推 raincole: 真的有耶抱歉是我自己沒查清楚就想當然亂講 10/18 19:04

→ raincole: 現在的 SD 預設就是有一個 "StableDiffusionV1" 的頻域 10/18 19:04

→ raincole: 浮水印當然你可以關掉就是了 10/18 19:05

噓 Bugquan: 廠商幹嘛理你，可能的是能自行選擇要不要上浮水印而已 10/18 19:06

推 meatybobby: 其實就算強迫放你一個png轉jpg就沒了 10/18 19:07

用頻域放浮水印的方式知乎有做測試，破壞性壓縮是沒辦法破解的不過stablediffusion的出發點確實不錯，可以避免AI用AI算出來的圖來學習

→ yellowhow: 反正目前的發展只會有繪師受害，這是科技發展必要犧牲~ 10/18 19:09

→ b2202761: 明明就可以轉型成為會使用ai的繪師 10/18 19:12

推 XFarter: PNG to jpg 的 Data layout 沒什麼變化的狀況下，直覺上 10/18 19:16

→ XFarter: 頻域的資料應該也不太會有變化啦 10/18 19:16

→ XFarter: 但 Training Dataset 除非每一個 Dataset 都有一模一樣的 10/18 19:16

→ XFarter: 浮水印，不然被 diffusion 完一樣沒辦法在成品上找到端倪 10/18 19:16

→ XFarter: ㄅ? 10/18 19:16

→ piazaic: 其實就是優越感吧完全不會畫畫的人突然可以靠AI創造作品 10/18 19:23

→ piazaic: 就會瘋狂地到處發AI圖說這樣好看吧之類的... 10/18 19:23

推 naya7415963: 聽起來是可行的...但這對廠商沒有利益的話... 10/18 19:50

推 tsYe: 笑死分享方法而已一堆人在說沒有廠商會放本來就應該要有 10/18 19:53

→ tsYe: 辦法控管了多一點相關的討論不好嗎 10/18 19:53

→ Cubelia: 上面提到SD的出發點就很不錯，可以避免AI拿AI圖來學習 10/18 19:54

→ Cubelia: 就以AI學習系統來說，可以分辨AI圖是有利無弊 10/18 19:56

→ Cubelia: 延伸的話插圖網站也能去分辨是用哪個model去跑的 10/18 19:59

推 WOGEchidna: 於是接下來有人做了個專門破壞數位浮水印的AI網站出 10/18 20:20

→ WOGEchidna: 來（喂 10/18 20:20

※ 編輯: Cubelia (1.173.161.139 臺灣), 10/18/2022 20:46:50

推 TaiwanXDman: 但...為什麼AI繪圖公司要聽你的放浮水印? 10/18 21:47

→ Cubelia: 懶得回，原因上面都有討論了 10/18 22:11

推 smallx3: 彷彿看到人力車夫的最後掙扎 10/18 22:28

→ HAmakers: 這剛好是我教授叫我學弟做的論文捏不過他主要是說DEEP 10/18 22:44

→ HAmakers: FAKE 10/18 22:45

推 UzInSec: 現在AI繪圖源頭都不只一個了到最後幾家有放浮水印幾家 10/19 00:01

→ UzInSec: 沒放浮水印那還是回有漏網之魚阿 10/19 00:02

推 Vulpix: 數位浮水印，如果知道是用哪種技術的話應該都是去得掉的 10/19 00:59

→ Vulpix: 。 10/19 00:59

推 Vulpix: 雜訊效果不會太好。real space浮水印用雜訊去除浮水印的 10/19 01:10

→ Vulpix: 效果也很有限。但是如果用高頻浮水印，那可以用低通濾波 10/19 01:10

→ Vulpix: 或頻域模糊化吧？以前也很多人不懂浮水印，不懂原來浮水 10/19 01:10

→ Vulpix: 印可以有辦法去掉，隨著大眾對浮水印的理解程度上升，一 10/19 01:10

→ Vulpix: 定會有人找到有效率的去除方法。 10/19 01:10

→ Cubelia: 就兩種說法1.想辦法修改原圖，各種攻擊讓浮水印無法還原 10/19 01:28

→ Cubelia: 2.逆向工程從頻譜去除浮水印(例如已知浮水印的添加模式) 10/19 01:29

→ Cubelia: 1.就不用說，這樣圖片也不用看了 10/19 01:30

→ Cubelia: 2.開源程式碼那破解法應該是有，這個就超出知識範圍了 10/19 01:31

推 Vulpix: 如果不做普通傅立葉，而是Hermite-Fourier或甚至非正交、 10/19 04:28

→ Vulpix: 非線性的轉換，然後保密起來，應該可以防一下？ 10/19 04:29

→ Vulpix: 說到去除real space浮水印，比起AI，我覺得一個macro或一 10/19 04:31

→ Vulpix: 個程式更或許更好。畢竟PS的處理方式看起來非常routine。 10/19 04:31