Googles ambitioniertes System zur Kennzeichnung KI-generierter Bilder steht vor einer ernsthaften Herausforderung: Entwickler haben SynthID, das unsichtbare Wasserzeichen, das Google in alle von Gemini generierten Bilder einbettet, durch reine Signalverarbeitung und Spektralanalyse erfolgreich reverse-engineered – ganz ohne Zugang zum proprietären Encoder oder Decoder des Unternehmens.
Wie SynthID funktioniert – und wie es ausgehebelt wird
SynthID wurde von Google DeepMind entwickelt, um KI-generierte Inhalte dauerhaft und für das menschliche Auge unsichtbar zu markieren. Das System arbeitet mit einer frequenzbasierten Einbettung, die selbst nach Komprimierung, Skalierung oder Filterung erhalten bleiben soll. Genau hier setzt das Reverse-Engineering-Projekt an: Durch Spektralanalyse haben die Forscher die auflösungsabhängige Trägerfrequenzstruktur des Wasserzeichens identifiziert. Damit lässt sich SynthID mit einer Genauigkeit von rund 90 Prozent zuverlässig detektieren.
Noch brisanter ist der zweite Teil des Projekts: Neben der Erkennung wurde auch eine Bypass-Methode entwickelt. Durch einen sogenannten Multi-Resolution Spectral Bypass lässt sich die Trägerenergie des Wasserzeichens um 75 Prozent reduzieren, während die Phasenkohärenz um 91 Prozent abfällt. Im Klartext bedeutet das: Das Wasserzeichen wird so stark degradiert, dass eine automatische Erkennung faktisch unmöglich wird – und zwar unabhängig von der Bildauflösung.
Weitreichende Konsequenzen für KI-Transparenz
Die Implikationen dieses Projekts gehen weit über technische Spielerei hinaus. SynthID ist ein zentrales Element in Googles Strategie zur Kennzeichnung und Nachverfolgung von KI-Inhalten. Regulierungsbehörden weltweit – insbesondere im Rahmen des EU AI Acts – setzen zunehmend auf technische Wasserzeichen als Werkzeug zur Transparenz und Nachvollziehbarkeit. Wenn solche Systeme durch frei verfügbare Signalverarbeitungsmethoden ausgehebelt werden können, stellt das die gesamte Strategie in Frage.
Ähnliche Ansätze verfolgen auch andere Anbieter: OpenAI, Meta und Adobe haben eigene Wasserzeichen- oder Metadaten-basierte Systeme entwickelt. Das erfolgreiche Reverse Engineering von SynthID dürfte nun auch Sicherheitsforscher dazu animieren, diese Systeme unter die Lupe zu nehmen. Die Robustheit unsichtbarer Wasserzeichen gegenüber Spektralangriffen war zwar in der akademischen Literatur bereits diskutiert worden, doch ein öffentlich zugängliches, funktionierendes Proof-of-Concept wie dieses erhöht den Druck auf die Industrie erheblich.
Open-Source-Ansatz und Community-Beteiligung
Das Projekt ist als Open-Source-Initiative auf GitHub veröffentlicht und sucht aktiv nach Mitwirkenden. Gesucht werden insbesondere Nutzer, die reine Schwarz-Weiß-Bilder über verschiedene Gemini-Modelle generieren können, um die Codebook-Analyse für die Multi-Resolution-Extraktion weiter zu verfeinern. Dieser kollaborative Ansatz beschleunigt die Weiterentwicklung der Methodik – und macht deutlich, wie schnell die Community proprietäre KI-Schutzmechanismen analysieren und dokumentieren kann.
Für Nutzer und Unternehmen, die auf SynthID als Vertrauensanker für die Herkunft von Bildern setzen, ist das ein Weckruf: Technische Wasserzeichen allein sind kein ausreichender Schutz. Robustere Ansätze – etwa kryptografische Signaturen kombiniert mit Metadaten-Standards wie C2PA – könnten langfristig die zuverlässigere Alternative darstellen.
Quellen: Hacker News