Home » AGH 2024/25 » Identyfikacja i oznaczanie grafiki generowanej przez AI – od znaków wodnych po zaawansowane algorytmy głębokiego uczenia.

Tagi

Wyróżnione posty

Zobacz też

Statystyki

  • 957
  • 6 410
  • 42 872
  • 14 227
  • 13

Identyfikacja i oznaczanie grafiki generowanej przez AI – od znaków wodnych po zaawansowane algorytmy głębokiego uczenia.

By in AGH 2024/25 on .
Spread the love

Czy to jeszcze człowiek, czy już maszyna? Po co oznaczać obrazy generowane przez AI i jak działa ich wykrywanie?

W dobie generatywnej sztucznej inteligencji granica między grafiką tworzoną przez człowieka a obrazem wygenerowanym przez algorytmy coraz bardziej się zaciera. W odpowiedzi na to wyzwanie powstaje wiele technologii mających na celu oznaczanie i wykrywanie treści syntetycznych. Dlaczego to takie ważne? Bo chodzi o ochronę praw autorskich, walkę z dezinformacją i budowanie zaufania do cyfrowych treści.

Dlaczego oznaczanie obrazów AI jest potrzebne?

  • Ochrona przed wykorzystaniem do treningu bez zgody

    Twórcy nie chcą, by ich prace były wykorzystywane do trenowania AI bez ich wiedzy. Oznaczenia pomagają zidentyfikować pochodzenie grafiki i chronić oryginalność dzieła.

  • Przeciwdziałanie manipulacjom

    Obrazy mogą być przerabiane i wykorzystywane do dezinformacji, np. w deepfake’ach czy fałszywych wiadomościach. Informacja o ich sztucznym pochodzeniu zmniejsza ryzyko nadużyć.

  • Oznaczanie i określanie obrazów wygenerowanych przez AI

    Wprowadzenie jednoznacznych oznaczeń (np. znaków wodnych) oraz technologii detekcji pozwala odbiorcom rozpoznać treści stworzone przez sztuczną inteligencję i podejmować świadome decyzje jako odbiorcy.

Kryteria oceny wykrywania manipulacji grafik przez AI

Chcąc ocenić jakość narzędzia do weryfikacji grafik przed jego wykorzystaniem lub wprowadzeniem do użytku trzeba wziąć pod uwagę wiele kryteriów. Dobrą próbę określenia ich zakresu można odnaleźć w artykule „Detecting AI fingerprints: A guide to watermarking and beyond”. Poniżej przedstawiamy parafrazę tych kryteriów.
  1. Skuteczność detekcji:
    Podstawowy wskaźnik to trafność wykrywania – ile z faktycznie wygenerowanych obrazów zostaje poprawnie rozpoznanych jako sztuczne? Wysoka dokładność to warunek konieczny, ale nie wystarczający.
  2. Odporność na obejścia (robustness against evasion): Skuteczne narzędzie powinno radzić sobie z próbami obejścia zabezpieczeń. Skalowanie, kompresja czy delikatna edycja obrazu nie powinny prowadzić do utraty zdolności detekcyjnych.
  3. Odporność na fałszywe oznaczenia:

    Ważne jest też zabezpieczenie przed sytuacją, w której obraz generowany przez człowieka zostaje błędnie zaklasyfikowany jako wygenerowany przez AI.

  4. Zachowanie jakości obrazu:

    System detekcji nie powinien pogarszać jakości analizowanego obrazu.

  5. Detekcja częściowo wygenerowanej zawartości:Często mamy do czynienia z obrazami hybrydowymi – częściowo wygenerowanymi przez AI, częściowo zmodyfikowanymi przez człowieka. Narzędzia powinny wykrywać również takie przypadki.
  6. Uniwersalność detektora:Czy dany system działa niezależnie od modelu, który wygenerował obraz? Czy wymaga wcześniejszego oznakowania? Im większy zakres wykrywania, tym lepiej.
  7. Łatwość użycia:Skuteczne rozwiązania powinny być dostępne nie tylko dla ekspertów. Interfejs użytkownika, API, dokumentacja – to wszystko wpływa na użyteczność narzędzia.
  8. Prywatność:Niektóre systemy wymagają przesyłania obrazów do zewnętrznych serwerów. To może być problematyczne w kontekście ochrony danych.
  9. Zaufanie do technologii:Na końcu liczy się transparentność działania i wiarygodność twórców. Czy narzędzie jest peer-reviewed? Czy opiera się na uznanych standardach?

 

Spełnienie tych wszystkich kryteriów jest na ten moment nieosiągalne, ale stanowi pole do porównania dostępnych technologii i przedstawia możliwości rozwoju.

Sposoby wykrywania manipulacji grafik przez AI

Systemy wykrywania obrazów wygenerowanych przez AI można podzielić na kilka głównych kategorii. Różnią się one momentem zastosowania, metodą działania i zakresem wykrywalności.
  • Znaki wodne

Jednym z najbardziej rozpowszechnionych podejść do identyfikowania obrazów generowanych przez sztuczną inteligencję jest stosowanie znaków wodnych. W tym kontekście odchodzi się już od tradycyjnych, widocznych logo czy napisów umieszczony na środku zdjęcia, lecz wprowadza się niewidoczny znacznik cyfrowy – dyskretnie zakodowaną informację, która pozwala zidentyfikować pochodzenie obrazu. Taki znak jest trudny do zauważenia dla człowieka, ale możliwy do odczytania przez odpowiednie algorytmy.

 

Znak wodny może być dodany do obrazu na dwa sposoby: w trakcie jego generowania lub już po fakcie. W pierwszym przypadku, implementowanym, znak wodny jest wprowadzany bezpośrednio przez model generujący obraz – jeszcze zanim ten zostanie wyeksportowany w formacie graficznym. Działa to poprzez modyfikację niskopoziomowych cech obrazu, w sposób nieodróżnialny dla ludzkiego oka, ale spójny i wykrywalny przez przygotowane detektory. Zaletą tego podejścia jest duża kontrola nad sposobem osadzenia znaku, co przekłada się na większą odporność na późniejsze edycje obrazu – takie jak kompresja, skalowanie czy drobne retusze. Wadą natomiast jest to, że wymaga bezpośredniego dostępu do modelu – nie można go zastosować, jeśli obraz został wygenerowany przez system nieobsługujący znakowania.

 

Alternatywą jest dodawanie znaku wodnego po wygenerowaniu obrazu, przez zewnętrzne narzędzie lub system. W tym wariancie znak wodny jest dokładany do istniejącego już pliku graficznego, zazwyczaj również w sposób niewidoczny. Można to osiągnąć na przykład przez modyfikację wartości pikseli w określonych miejscach lub przez osadzenie informacji w kanałach koloru. Choć to podejście nie wymaga ingerencji w sam proces generowania i może być stosowane na dowolnym obrazie, ma swoje ograniczenia. Największym z nich jest niższa odporność na manipulacje – nawet proste przekształcenia mogą zniszczyć lub zakłócić znak, szczególnie jeśli został on dodany z mniejszą precyzją. Istnieje też ryzyko pogorszenia jakości obrazu, jeśli algorytm znakujący nie został odpowiednio skalibrowany.

 

W obu przypadkach kluczowe jest to, że znak wodny musi być nie tylko dyskretny, ale także odporny na edycję i możliwy do jednoznacznego wykrycia.

  • Detekcja Post-Hoc

Post-hoc detection, czyli detekcja „po fakcie”, to podejście polegające na analizie obrazu już po jego wygenerowaniu – niezależnie od tego, czy zawiera on znak wodny lub inne oznaczenie. W przeciwieństwie do metod bazujących na wbudowanych znacznikach, systemy post-hoc traktują obraz jak „czarną skrzynkę”: nie zakładają żadnej dodatkowej informacji osadzonej w grafice, tylko próbują ustalić jej pochodzenie na podstawie strukturalnych i statystycznych cech samego obrazu.

 

W praktyce oznacza to, że specjalnie wyszkolone modele – najczęściej oparte na głębokim uczeniu – badają np. rozmieszczenie pikseli, charakterystyczne szumy, artefakty kompresji, zaburzenia tekstury czy nienaturalne przejścia tonalne, które mogą wskazywać, że obraz został wygenerowany przez sztuczną inteligencję. Często są to cechy, które są niemal niezauważalne dla ludzkiego oka, ale wykrywalne przez algorytmy przeszkolone na dużych zbiorach danych porównujących obrazy prawdziwe i syntetyczne.

 

Zaletą detekcji post-hoc jest jej uniwersalność – można ją zastosować do dowolnego obrazu, nawet jeśli został wygenerowany przez nieznany model, nie zawiera znaku wodnego ani żadnych metadanych. To czyni ją użyteczną szczególnie w kontekście otwartego internetu, gdzie użytkownicy często udostępniają obrazy bez informacji o ich pochodzeniu.

 

Niestety, ta uniwersalność wiąże się z pewnymi kompromisami. Detekcja post-hoc jest bardziej podatna na błędy – zwłaszcza w przypadku obrazów, które zostały poddane obróbce mającej na celu ukrycie śladów generatywnego pochodzenia. Proste operacje, takie jak zmiana rozdzielczości, mocna kompresja JPEG, filtry czy retusz, mogą skutecznie zmylić algorytmy detekcyjne, które opierają się na subtelnych różnicach między obrazem „prawdziwym” a „syntetycznym”. Co więcej, wraz z postępem w dziedzinie generatywnego AI jakość obrazów generowanych przez modele coraz trudniej odróżnić od tych rzeczywistych – co dodatkowo utrudnia wykrywanie post-hoc.

 

Mimo tych ograniczeń, narzędzia tego typu pełnią istotną rolę w ekosystemie detekcji treści syntetycznych – szczególnie jako ostatnia linia obrony w sytuacjach, gdy brak jest jakichkolwiek oznaczeń źródłowych.

 

  • Retrieval-Based Detection

Retrieval-based detection, czyli wykrywanie oparte na wyszukiwaniu i porównywaniu, to podejście, które zamiast analizować strukturę obrazu pod kątem typowych „śladowych” cech AI, opiera się na sprawdzaniu, czy dany obraz lub jego warianty istnieją już w znanej bazie danych obrazów wygenerowanych sztucznie.

 

Działa to podobnie jak systemy reverse image search, ale z tą różnicą, że zamiast szukać identycznych lub prawie identycznych zdjęć w całym internecie, algorytm przeszukuje specjalnie przygotowaną bazę danych obrazów wygenerowanych przez modele AI. Może to być na przykład katalog stworzony przez firmę zajmującą się oznaczaniem treści syntetycznych, zbierający obrazy pochodzące z najpopularniejszych generatorów wraz z metadanymi.

 

Kiedy taki system dostaje nowy obraz do sprawdzenia, wyodrębnia z niego zestaw cech, a następnie porównuje go z rekordami w swojej bazie. Jeśli znajdzie dokładne dopasowanie lub silne podobieństwo, może uznać, że obraz został wygenerowany lub zmodyfikowany na bazie innego, wcześniej zarejestrowanego obrazu AI.

 

Zaletą tej metody jest jej skuteczność w wykrywaniu:

 

    • duplikatów – np. ponownie udostępnianych obrazów AI bez zmian,
    • częściowych przeróbek – np. obrazów poddanych lekkim filtrom, kadrowaniu lub modyfikacjom detali,
    • obrazów pochodnych – opartych na tych samych promptach lub wygenerowanych przez ten sam model w zbliżonym kontekście.

 

Jednak skuteczność retrieval-based detection silnie zależy od jakości, aktualności i kompletności bazy danych. Jeśli obraz został wygenerowany niedawno i nie został jeszcze zindeksowany, system może nie wykryć jego pochodzenia. Podobnie, jeśli generator AI działa lokalnie, to wynikowy obraz nie znajdzie się w żadnej centralnej bazie – i wówczas metoda retrieval-based staje się nieskuteczna.

 

Sposoby ochrony autorskich obrazów

Nie wszystkie techniki skupiają się na detekcji. Część z nich służy aktywnej ochronie oryginalnych dzieł, aby utrudnić ich nieautoryzowane użycie przez AI lub zapewnić identyfikowalność.
  • Metadane w obrazie

Najprostszą, ale jednocześnie najbardziej podatną na manipulację formą oznaczania obrazów są metadane, czyli dodatkowe informacje zapisane wewnątrz pliku graficznego, zwykle w formacie EXIF lub XMP. Takie dane mogą zawierać:

        • nazwę autora,
        • datę i miejsce utworzenia obrazu,
        • nazwę aplikacji lub modelu generującego,
        • identyfikator źródłowy.

Zaletą metadanych jest ich łatwość implementacji – można je dodać do niemal każdego pliku graficznego bez wpływu na jakość obrazu. Są też czytelne dla wielu systemów zarządzania treścią (CMS), edytorów i przeglądarek. Problem polega jednak na tym, że metadane są równie łatwe do usunięcia lub zmodyfikowania – wystarczy podstawowe narzędzie do edycji zdjęć, by je wyczyścić.

 

Aby zwiększyć wiarygodność metadanych, powstał standard C2PA (Coalition for Content Provenance and Authenticity), rozwijany przez konsorcjum firm, w tym Adobe, Microsoft, Intel i BBC. C2PA opiera się na kryptograficznym podpisywaniu danych kontekstowych, co pozwala nie tylko osadzić informacje o źródle, ale też zapewnić ich integralność i weryfikowalność. Innymi słowy – metadane chronione w ramach C2PA nie mogą zostać zmienione bez pozostawienia śladu. Choć to krok w stronę większej przejrzystości, wdrożenie C2PA wymaga wsparcia po stronie twórców treści, platform dystrybucji i przeglądarek

  • Data Poisoning

Data poisoning to technika o bardziej aktywnym i strategicznym charakterze. Zamiast oznaczać gotowy obraz, celowo modyfikuje dane treningowe – czyli obrazy, które mogą zostać wykorzystane do szkolenia modeli generatywnych. Kluczowym założeniem jest tu wprowadzenie takich subtelnych zniekształceń w obrazach, które nie są widoczne dla ludzkiego oka, ale wpływają na proces uczenia się modelu.

 

Na przykład, artysta nie chce, by jego styl był kopiowany przez AI, więc publikuje obrazy z ukrytymi zmianami w strukturze pikseli, które wprowadzają błędy w modelu próbującym nauczyć się tego stylu. W rezultacie, jeśli obraz zostanie użyty w zbiorze treningowym, model nauczy się niewłaściwych cech – np. błędnie odwzorowując proporcje czy kolory – co skutecznie zniekształca przyszłe generacje obrazów opartych na tym stylu.

 

Przykładem narzędzia wykorzystującego to podejście jest Nightshade, opracowane przez zespół z University of Chicago. Narzędzie to pozwala artystom zabezpieczyć swoje prace przed nieautoryzowanym wykorzystaniem przez generatory AI poprzez „truciznę” zakodowaną w danych treningowych.

 

  • Image Cloaking

Image cloaking jest techniką pokrewną data poisoning, ale różni się zarówno momentem działania, jak i celem. Zamiast sabotować model podczas jego treningu, cloaking chroni istniejące obrazy przed analizą lub wykorzystaniem przez modele AI, bez konieczności udziału w procesie uczenia.

 

Działa to poprzez drobne, precyzyjne modyfikacje obrazu, które są niewidoczne dla człowieka, ale skutecznie mylnie informują model, jeśli ten spróbuje np. zanalizować obraz w celu rekonstrukcji stylu czy wygenerowania podobnych treści. Modyfikacje te nie wpływają istotnie na percepcję obrazu przez ludzi, ale zakłócają sposób, w jaki AI postrzega i przetwarza jego strukturę.

 

Cloaking jest więc metodą defensywną, ukierunkowaną na ochronę treści już istniejących, w odróżnieniu od data poisoning, które działa na poziomie danych wejściowych modeli uczących się. Jednym z najbardziej znanych narzędzi cloakingowych jest Glaze – także stworzone przez University of Chicago – które pozwala artystom zabezpieczyć swoje obrazy przed nieautoryzowanym kopiowaniem stylu przez generatywne modele AI.

Istniejące technologie i organizacje wspierające identyfikację obrazów AI

Na rynku rozwija się wiele narzędzi oraz inicjatyw, których celem jest przeciwdziałanie nieautoryzowanemu użyciu generatywnych treści. Działania te podejmowane są zarówno przez duże firmy technologiczne, jak i środowiska akademickie.

Organizacje i firmy technologiczne

  • C2PA (Coalition for Content Provenance and Authenticity) – międzynarodowa inicjatywa wspierana przez m.in. Adobe, Microsoft, Intel i BBC. Tworzy otwarty standard kryptograficznego podpisywania treści cyfrowych, który pozwala zweryfikować źródło i historię edycji obrazu poprzez osadzanie metadanych oraz podpisów cyfrowych.
  • Google – SynthID – system dodający niewidoczne znaki wodne bezpośrednio podczas generacji obrazu przez modele AI (Imagen). Te znaki wodne są odporne na kompresję i drobne edycje, ale nie wpływają na jakość wizualną obrazu.
  • OpenAI – stosuje niewidoczne znaki wodne w obrazach generowanych przez DALL-E 3. Szczegóły działania nie są jawne, ale wiadomo, że opierają się na strukturze obrazu i są trudne do usunięcia bez uszkodzenia grafiki.
  • Amazon – Titan Image Generator – narzędzie generujące obrazy z automatycznym watermarkiem oraz osadzonymi metadanymi, które można odczytać za pomocą API DetectGeneratedContent. Ma to wspierać wykrywalność i transparentność.

Wdrożenie w praktyce:

  • Twórcy treści: mogą chronić swoje prace za pomocą Glaze, Nightshade czy Fawkes. Zaleca się również używanie C2PA do podpisywania treści.
  • Platformy społecznościowe i media: powinny wprowadzać automatyczne systemy detekcji oraz wspierać integrację z systemami C2PA.
  • Firmy technologiczne: zachęca się je do wdrażania watermarków bezpośrednio w modelach generatywnych.
  • Instytucje publiczne i regulatorzy: mogą promować standaryzację oraz ułatwiać współpracę w zakresie przejrzystości (np. poprzez regulacje prawne).

Wyzwania i przyszłość szerokiego wdrożenia

Na podstawie analiz, m.in. z raportu Brookings Institution, wskazuje się kilka głównych przeszkód:

  • Wymagana kooperacja developerów: skuteczne wdrożenie technologii identyfikacji wymaga, aby twórcy modeli generatywnych (zarówno prywatni, jak i open-source) wspólnie uznali standardy i aktywnie uczestniczyli w ich rozwijaniu oraz wdrażaniu. Brak takiej współpracy osłabia efektywność systemu globalnego oznaczania.
  • Braki w opensource’owych rozwiązaniach: mimo rosnącej liczby projektów open-source w zakresie znakowania, wiele z nich jest słabo zabezpieczonych i łatwych do obejścia. Oznacza to, że użytkownicy mogą nieświadomie korzystać z narzędzi pozbawionych realnej skuteczności.
  • Potrzeba zaufania do usługodawców: narzędzia detekcyjne często wymagają przesyłania obrazów do zewnętrznych serwerów. To stawia wyzwania związane z prywatnością i ochroną danych, zwłaszcza w kontekście wrażliwych treści.

Rekomendacje:

  • Standaryzacja znaków wodnych oraz stworzenie rejestru metod i certyfikowanych usługodawców: pomoże to zwiększyć interoperacyjność między systemami i zwiększyć zaufanie do stosowanych rozwiązań.
  • Popularyzacja technologii: konieczna jest edukacja użytkowników oraz instytucji na temat dostępnych narzędzi, ich działania i znaczenia. Im większa świadomość społeczna, tym większa szansa na ich stosowanie.
  • Kontekstowe wdrażanie oznaczeń: nie każdy obraz wymaga znakowania – warto określić priorytetowe obszary (np. media informacyjne, sztuka cyfrowa, dokumentacja publiczna), w których oznaczenia będą obowiązkowe.
  • Priorytet ochrony prywatności: systemy identyfikacji powinny działać zgodnie z zasadami prywatności-by-design, oferując alternatywy lokalnego działania (on-device), możliwość anonimizacji danych i pełną przejrzystość operacji.

Podsumowanie

Identyfikacja i oznaczanie obrazów generowanych przez sztuczną inteligencję to nie tylko kwestia technologii — to także sprawa etyki, przejrzystości i odpowiedzialności w cyfrowym świecie. W sytuacji, w której każda osoba może opublikować dowolny obraz, a narzędzia AI są coraz powszechniej dostępne, musimy zadbać o systemowe zabezpieczenia. Chodzi zarówno o ochronę artystów i autorów, jak i o zapewnienie społeczeństwu prawa do rzetelnej informacji.

Żadne z dostępnych rozwiązań nie jest jeszcze idealne, ale rozwój takich narzędzi jak SynthID, Glaze czy C2PA to krok w stronę bardziej transparentnej przyszłości. To właśnie one mogą pomóc nam zachować równowagę między kreatywnością, wolnością i zaufaniem w świecie, gdzie rzeczywistość coraz częściej miesza się z fikcją. Dalsza współpraca między twórcami technologii, platformami i użytkownikami będzie kluczowa, by te rozwiązania stały się nie tylko możliwe, ale też skuteczne i powszechnie stosowane.

 

Źródła:

Tags: , , , , , , , , , , , ,

Leave a comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Najnowsze komentarze

  5. W kwestii obrony przed nadużywaniem metod z tej rodziny przy stawianiu oskarżeń, jako pewne rozwinięcie tematu mogę polecić przesłuchanie w…

  6. Tak, początek artykułu to świadoma ironia nawiązująca do propagandowej mowy (swoją drogą, ciekawe, czy ChatGPT zdawał sobie z tego sprawę,…

  7. Dzięki za uwagę! Sama też chętnie zobaczyłabym konkretne metryki. Natomiast: 1. Generalnie nie są publicznie udostępniane w całości, szczególnie jeśli…