Google DeepMind kennzeichnet KI-generierte Bilder aus Gemini mit SynthID, einem unsichtbaren Wasserzeichen. Kleine, für das menschliche Auge nicht wahrnehmbare Veränderungen werden dabei in die Bilddaten eingebettet, sodass spezielle Tools (und inzwischen auch Gemini) die Herkunft erkennen können. Ein unabhängiger Entwickler will dieses System nun teilweise rückentwickelt haben.
Das Open-Source-Projekt reverse-SynthID auf GitHub verfolgt dabei einen ungewöhnlichen Ansatz. Der Autor erzeugte über Gemini mehrere hundert einfarbige Bilder, etwa komplett schwarze oder weiße Flächen. Da bei solchen Bildern jede Abweichung vom Einheitswert auf das Wasserzeichen hindeuten dürfte, ließ sich durch Mittelung und Vergleich ein Muster ableiten. Aus rund 250 Bildern und etwa 123.000 Bildpaaren entstand so ein sogenanntes Codebook, das die Einbettungsstruktur von SynthID annähern soll.
Laut Projektdokumentation erkennt der daraus abgeleitete Detektor SynthID-Wasserzeichen mit einer Genauigkeit von rund 90 Prozent. Beim Entfernen soll die aktuelle Version die Stärke des eingebetteten Wasserzeichensignals um etwa 75 Prozent reduzieren, ohne dass die Bildqualität sichtbar leidet. Das Wasserzeichen wird also nicht vollständig beseitigt, sondern so weit abgeschwächt, dass die automatische Erkennung im besten Fall fehlschlägt.
Technisch setzt das Projekt auf Frequenzanalyse und statistische Verfahren statt auf neuronale Netze. Das unterscheidet es von anderen Angriffsversuchen wie Synthid-Bypass des Entwicklers 00quebec. Dessen Ansatz schleust Bilder durch Diffusionsmodelle, um das Wasserzeichen bei der Neuberechnung nebenbei zu entfernen. Reverse-SynthID versucht stattdessen, das Signal gezielt zu rekonstruieren und zu neutralisieren. Zwischen den beiden Projekten gibt es allerdings Streit: Der Entwickler hinter Synthid-Bypass wirft dem Reverse-SynthID-Autor vor, Referenzbilder aus seinem Repository ohne Erlaubnis übernommen zu haben. Die entsprechenden Issues auf GitHub sollen mittlerweile gelöscht worden sein.
Die Ergebnisse von reverse-SynthID sind zudem begrenzt. Die Methode funktioniert laut Projektdokumentation vor allem bei einfachen Bildmotiven zuverlässig, bei komplexen oder nachbearbeiteten Bildern deutlich schlechter. Auf X bezweifeln Nutzer außerdem öffentlich, dass das Projekt tatsächlich SynthID erkennt und nicht lediglich Artefakte eines bestimmten Datensatzes. Der Autor selbst stuft die Arbeit als Proof of Concept ein und räumt ein, dass DeepMind das Verfahren durch veränderte Schlüssel oder Einbettungsstrategien aushebeln könnte.
