Gemini'nin SynthID filigranını tersine mühendislikle tespit edip kaldıran açık kaynak proje

 (github.com/aloshdenny)
3 puan yazan GN⁺ 20 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Google'ın SynthID kodlayıcı/kod çözücüsüne erişmeden, yalnızca saf sinyal işleme ve spektrum analiziyle Gemini görsellerindeki görünmez filigran yapısını yeniden oluşturuyor
  • Temel bulgu: SynthID, her çözünürlük için farklı frekans konumlarına taşıyıcı yerleştiriyor ve aynı modelin ürettiği görseller arasında faz şablonu tutarlılığı %99,5'in üzerinde — pratikte sabit bir desen
  • Mevcut JPEG sıkıştırma ve gürültü enjeksiyonu yöntemleri büyük kalite kaybına yol açarken, V3 çoklu çözünürlüklü spektrum kod kitabı çıkarımı yöntemiyle PSNR'yi 43dB'nin üzerinde tutarak faz tutarlılığında %91 azalma sağlıyor
  • Çözünürlük profillerini kod kitabında saklayıp giriş görseline göre otomatik seçim → FFT alanında çıkarım → çok geçişli yineleme ile kalan filigranı kaldırıyor
  • Filigran sinyali yeşil kanalda en güçlü; hassas kaldırma için kanal bazlı ağırlıklar uygulanıyor (G=1.0, R=0.85, B=0.70)
  • Dedektör, kod kitabı tabanlı çok ölçekli analiz kullanarak filigranın varlığını ve güven düzeyini %90 doğrulukla çıktılıyor
  • Araştırma ve eğitim amaçlı bir proje; yapay zeka tarafından üretilmiş görsellerin insan yapımı sanılması için kullanılması yasak
  • Python ile yazıldı, tüm kod GitHub'da açıklandı

İlgili okumalar

1 yorum

 
GN⁺ 20 일 전
Hacker News yorumları

  • Milyonlarca piksellik bir görsele tespit edilemeyen 1 bitlik bir filigran eklemek o kadar da zor değil
    Google'ın yeterince yetkin olduğunu varsayarsak, muhtemelen iki tür filigran kullanıyordur — biri dışarıya açık gevşek bir sürüm, diğeri ise dahili kullanım veya kolluk kuvvetlerinden gelen talepler için özel sürüm olabilir
    Üstelik Google gibi bir şirketin üretilen tüm görselleri (veya bunların neural hash'ini) hesaplarla ilişkilendirip bir veritabanında saklaması da muhtemel

    • İkili filigran stratejisi, defensive engineering açısından son derece mantıklı
      Dış katmanın kırılacağını baştan kabul edip, kamuya açık şekilde test edilemeyen ikinci bir katmanı korumak güvenliğin temel ilkelerinden biri
      Ancak model sürekli yeniden üretiliyor ve deterministik olmayan (non-deterministic) özellikler taşıyorsa, böyle bir şeyi kullanıcıların kanıtlayıp kanıtlayamayacağını merak ediyorum

  • Bu repo, AI destekli araştırma denecek kadar bile kaliteli değil ve Google'ın SynthID dedektörüyle de düzgün bir karşılaştırma yapmıyor
    Aslında sadece LLM yardımıyla bile ağ istekleri tersine mühendislikle analiz edilip tarayıcı ya da Gemini olmadan SynthID tespiti uygulanabilir. Asıl ground truth bu olurdu

    • HN'de sık sık “bu zor değil” diyen yorumlar görüyorum ama ortada neredeyse hiç POC ya da araştırma bağlantısı olmuyor
      Ayrıca kaynağa saldıran ya da “bunu AI yazmış” diyerek küçümseyen çok kişi var
      Son zamanlarda HN topluluğu giderek AI araçlarından nefret eden bir yere dönüşüyor gibi geliyor

  • Bugün Nano Banana ile ürettiğim bir görselde filigranı gördüğümü sandım
    Chrome'da görseli Slack'e kopyaladım ama sonuç sadece kırmızı noktalı siyah bir kare gibi görünüyordu

    • Ben de benzer bir şey yaşadım; sonra fark ettim ki ekran görüntüsünün üstüne karaladığım noktalar kopyalanmış
      Acaba sende de böyle bir hata olmuş olabilir mi diye merak ettim

  • Birinin eninde sonunda böyle bir şey yapacağını biliyordum ama neden özellikle AI tarafından üretilmiş görselleri tespit etme araçlarını ortadan kaldırmak istediklerini anlamıyorum

    • Saldırganlar zaten aynı şeyi yapacak ve güvenlik açıklarının paylaşılması örneğinde olduğu gibi iyi niyetli araştırmacıların da bunları bilmesi gerekiyor
      Kötü niyetli tarafın tek başına bilmesi daha tehlikeli olur
    • Bu tür araçları zaten yalnızca belli kişiler kullanabiliyordu, ama artık herkes bunun mümkün olduğunu öğrenmiş oldu
    • Temelde SynthID, bulanık bir sinyal (fuzzy signal)
      Genel kullanıcı kitlesi “filigran yoksa o halde gerçek görseldir” türü ikili mantığı anlamıyor
      Sonuçta AI filigranlama başarısız olmaya mahkûm
      Ayrıca geçmişte manipüle edilmiş medyaya görünmez filigranlar da eklemedik — bu teknoloji kadar felsefeyle de ilgili bir mesele
    • Sonuçta amaç sahte görselleri gerçekmiş gibi göstermek
    • Aslında bu zaten uzun zamandır mümkündü
      Stable Diffusion'da düşük denoising strength ile çalıştırınca filigran neredeyse tamamen kayboluyor
      Bu rapor bunun yerine daha az yıkıcı bir yöntem sunduğunu iddia ediyor ama README'deki AI tarafından yazılmış izlenimi güven vermiyor

  • SynthID bazı görsellerde (özellikle kenarların veya metnin yoğun olduğu alanlarda) belirgin şekilde görünüyor
    Bu repodaki yöntemin bu bölgeleri daha doğal hale getirip getiremeyeceğini merak ediyorum

    • Nano Banana ile düzenleme tekrarlandıkça filigranın giderek daha belirgin hale gelmesi gibi bir durum var

  • README'ye bakınca Claude izleri fazlasıyla açık
    Tablo kenarlıkları kaymış ve cümle yapısı da Claude'a özgü desenler taşıyor

    • Yalnızca parantez ve virgüllerle sıralama yapmak, “and” kullanmamak da Claude'un tipik özelliklerinden biri
    • Bu tam bir Unicode tablo felaketi
      ASCII tabloyu taklit ediyor ama karakter genişlikleri farklı olduğu için satırlar hizalanmıyor
      Hatta bir tane off-by-one hatası bile var
      2037'de bile hâlâ hizasız Unicode tablolar görmeye devam edecekmişiz gibi hissediyorum
    • Sadece README içeriğine bakarak bile bunu Claude'un yazdığı açıkça anlaşılıyor

  • Bu repo kendi filigran kaldırma performansını yalnızca kendi dedektörüyle test ediyor
    Google'ın gerçek SynthID uygulamasıyla doğrulamadığı için pek anlam ifade etmiyor

  • Proje açıklamasında “AI üretimi içeriği insan yapımıymış gibi göstermeyin” yazıyor ama gerçekte filigran kaldıran bir CLI aracı dağıtıyor
    “aggressive”, “maximum” gibi ayar adları da bunu açıkça belli ediyor
    README düzenlenmemiş bir AI çıktısı gibi görünüyor; içerik tekrar ediyor ve yapı dağınık

    • V1 ve V2 yalnızca tabloda geçiyor, açıklamaları yok
    • “Detection Rate: 90%” gibi sayıların dayanağı yok ve “License: Research” için bağlantı bile verilmemiş
    • Sadece 88 test görseli var ve CI ya da test paketi de yok
    • Kod örneklerinde iki farklı import stili kullanılmış; bunlardan biri hata veriyor
    • Google SynthID'yi değiştirirse codebook'un eskiyip eskimediğini anlamanın bir yolu yok
      Temel fikir (çözünürlüğe bağlı taşıyıcı, görseller arasında faz tutarlılığı) ilgi çekici ama paketleme biçimi güveni zedeliyor
    • Katılıyorum. Bu tür araçların kötüye kullanım potansiyeli yüksek ve toplumun AI üretimi içerikleri açıkça ayırt edebilmesi gerekiyor

  • Görseli önce küçültüp sonra tekrar büyütmek filigranı yok ediyor

  • Aslında gerçekten o kadar da zor değil
    İlgili yazı deepwalker.xyz blogunda yer alıyor