Falsificación semántica de marcas de agua. El atacante puede transferir la marca de agua de una imagen de referencia marcada con agua solicitada por Alice (aquí: el gato de buceo) a cualquier imagen de portada (aquí: el aterrizaje de la luna). La imagen obtenida será detectada como marcada y atribuida a Alice por el proveedor de servicios, erosionando la confianza en la detección y la atribución de contenido generado por IA. Crédito: ARXIV (2024). Doi: 10.48550/arxiv.2412.03283
Las imágenes generadas por la inteligencia artificial (AI) a menudo son casi indistinguibles de las imágenes reales al ojo humano. Marcas de agua, marcadores visibles o invisibles integrados en archivos de imagen, pueden ser la clave para verificar si AI generó una imagen. Las llamadas marcas de agua semánticas, que están incrustadas en las profundidades del proceso de generación de imágenes, se consideran especialmente robustas y difíciles de eliminar.
Sin embargo, los investigadores de ciberseguridad de la Universidad de Ruhr Bochum, Alemania, mostraron que esta suposición es incorrecta. En una charla en la conferencia sobre visión por computadora y reconocimiento de patrones (CVPR 2025) El 15 de junio en Nashville, Tennessee, EE. UU., El equipo reveló fallas de seguridad fundamentales en las técnicas de marca de agua supuestamente resistentes.
“Demostramos que los atacantes podrían falsificar o eliminar por completo las marcas de agua semántica utilizando métodos sorprendentemente simples”, dice Andreas Müller de la Facultad de Ciencias de la Computación de Bochum de la Universidad de Ruhr, quien es coautor del estudio junto con el Dr. Denis Lukovnikov, Jonas Thietke, el profesor Asja Fischer y el Dr. Erwin Quiring. El papel es disponible en el servidor de preimpresión ARXIV.
Dos nuevas estrategias de ataque
Su investigación introduce dos estrategias de ataque novedosas. El primer método, conocido como el ataque de impresión, funciona a nivel de representaciones latentes: la firma digital subyacente de una imagen en la que funcionan los generadores de imágenes AI. La representación oculta de una imagen real, su estructura digital subyacente, por así decirlo, se modifica deliberadamente para parecerse a la de una imagen que contiene una marca de agua.
Esto permite transferir la marca de agua a cualquier imagen real, a pesar de que la imagen de referencia originalmente fue generada por AI. Por lo tanto, un atacante puede engañar a un proveedor de IA al hacer que cualquier imagen parezca marcada, y por lo tanto generada artificialmente, haciendo que las imágenes reales se vean falsas.
“El segundo método, el ataque de reprompting, explota la capacidad de devolver una imagen marcada con agua al espacio latente y luego regenerarlo con un nuevo aviso. Esto da como resultado imágenes arbitrarias recién generadas que llevan la misma marca de agua”, explica el coautor Dr. Quiring de la Facultad de Ciencias de la Computación de Bochum.
Los ataques trabajan independientemente de la arquitectura de IA
Al alarmante, ambos ataques requieren una sola imagen de referencia que contenga la marca de agua objetivo y se puede ejecutar en diferentes arquitecturas de modelos; Funcionan para sistemas basados en un metro heredado más antiguo, así como para transformadores de difusión más nuevos. Esta flexibilidad del modelo cruzado hace que las vulnerabilidades sean especialmente preocupantes.
Según los investigadores, las implicaciones son de gran alcance: actualmente, no hay defensas efectivas contra este tipo de ataques. “Esto cuestiona cómo podemos etiquetar de forma segura y autenticar el contenido generado por IA en el futuro”, advierte Müller. Los investigadores argumentan que el enfoque actual para la marca de agua semántica debe ser fundamentalmente repensada para garantizar la confianza y la resiliencia a largo plazo.
Más información: Andreas Müller et al, ataques de falsificación de caja negra en marcas de agua semánticas para modelos de difusión, ARXIV (2024). Doi: 10.48550/arxiv.2412.03283
Información en el diario: ARXIV
Proporcionado por la Universidad de Ruhr Bochum
Cita: Las marcas de agua semánticas para el reconocimiento de imágenes de IA se pueden manipular fácilmente (2025, 23 de junio) recuperado el 23 de junio de 2025 de https://techxplore.com/news/2025-06-semantic-watermarks-ai-image-recognition.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
