Googleの「ハッキング不可能」なAIが破られた

Google DeepMindは、AIが生成する誤情報やディープフェイクの危機がエスカレートする中、その主力ソリューションとしてSynthIDを発表しました。この高度なツールは、2023年8月に画像向けにベータ版として最初にリリースされ、2024年5月にはテキストとビデオにも拡大されました。これは、生成AIにおける透明性と信頼を育むためのGoogleの多大な投資を象徴しています。同社はSynthIDを、欺瞞的なコンテンツの拡散に対する重要な防御策として位置づけました。

SynthIDの核心的な目的は、AIが生成したコンテンツの作成時点で、永続的な目に見えないデジタル透かしを直接埋め込むことにありました。画像の場合、これはスペクトラム拡散符号化を使用して、低電力信号を周波数領域に注入することを含みました。この信号は人間の目には知覚できませんでしたが、数学的に明確であり、Google独自のシステムによって検出可能であり、事実上、独自のデジタル指紋として機能しました。

GoogleはSynthIDの回復力について強力な主張を行い、コンテンツの品質を損なうことなく一般的な画像操作に耐えるように設計されていることを強調しました。このシステムは、以下を含む広範な変更に耐えるように設計されていました。 - トリミング - サイズ変更 - JPEG圧縮

これらの保証は、Googleのマーケティングの中心であり、SynthIDをしばしば「ハッキング不可能」なソリューションとして説明していました。この透かしは、一般的なコンテンツのライフサイクル変更を通じて持続し、AI生成メディアの永続的な検証メカニズムを提供するという約束でした。

AI研究者のAlosh Dennyは、Google DeepMindの「ハッキング不可能」なAIウォーターマークという困難な挑戦を受け入れました。Googleは、デジタル信頼への巨額の賭けの重要な要素として、AIが生成する誤情報やディープフェイクに対する難攻不落の目に見えない防御策としてSynthIDを位置付けていました。Dennyの研究は、その一見難攻不落の装甲における根本的な脆弱性を今や露呈させ、巨大テック企業の堅牢性に関する主張に直接疑問を投げかけています。

Dennyの画期的な発見は、秘密裏の攻撃としてではなく、GitHubで公開されたセキュリティ研究プロジェクト「Reverse SynthID」として現れました。この取り組みは、悪意のある意図から、重要かつ透明な脆弱性評価へと物語を再構築します。彼のプロジェクトは破壊行為ではなく、AIウォーターマークのメカニズムを解剖し理解することで、システム全体のセキュリティを強化することを目的としていました。

画像品質をしばしば低下させる重いJPEG圧縮やノイズ追加のようなブルートフォース手法に頼る代わりに、Dennyは非常に外科的なアプローチを採用しました。彼は洗練された位相シフト攻撃を利用し、「Gemini whiteとGemini blackの出力」を綿密に分析して、ウォーターマークが存在する正確なフーリエ変換座標を特定しました。これにより、ウォーターマークの位相を正確にシフトさせ、そのコヒーレンスを破壊することができました。その結果は壊滅的でした。Googleの検出器の信頼度は90%以上急落しましたが、画像は手付かずの43 dB PSNRを維持し、人間の目には完璧に見えました。

一人のAI研究者の発見が、今や世界最大のテクノロジー企業の一つである企業の力と資源に直接異議を唱えています。この重大な出来事は、集中型AI安全メカニズムの実現可能性と、静的な数学的信号に依存するシステムの固有の脆弱性について、緊急の疑問を投げかけています。Dennyのopen-sourceアプローチは、企業大手が支配する状況において個人の創意工夫の力を強調し、AIセキュリティ研究の境界を押し広げ、AIの信頼性を追求する上での継続的な「いたちごっこ」に光を当てています。

Google DeepMindのSynthIDは、spread spectrum encodingと呼ばれる原理に基づいて動作します。画像のピクセルデータを、私たちが見る画像を構成する視覚的な「ノイズ」でいっぱいの賑やかな無線周波数だと想像してみてください。SynthIDは、このデジタルノイズの中に、低ボリュームで非常に特定の信号を巧みに埋め込みます。

人間はこの隠された信号を知覚できません。私たちの目は、完全で改変されていない画像を単に認識するだけです。この低電力信号は、画像の根底にあるパターンとテクスチャの数学的表現である画像のfrequency domainに存在します。

しかし、専用の検出器は洗練された数学的アルゴリズムを採用しています。それは画像のfrequency domainを正確に分析し、注入された信号を分離して、コンテンツのAI起源を確認します。Google DeepMindは、一般的な画像改変に対して耐性を持つようにSynthIDを設計しました。

研究者たちは後に、ウォーターマークの解像度に依存するキャリア周波数構造を発見しました。「Gemini white」と「Gemini black」の出力、つまりAIによって生成された本質的に空白のキャンバスを分析することで、アナリストはウォーターマークが存在する正確なFourier transform座標を特定しました。

この精密な調査により、信号がカラーチャネル間で不均一に分布していることが明らかになりました。 - グリーンチャネル: 最強の信号 (重み 1.0) - レッドチャネル: 二次的な信号 (0.85) - ブルーチャネル: 最弱の信号 (0.7)

決定的に重要なのは、この信号の根底にあるphase templateが、特定のGeminiモデルによって生成されたすべての画像でほぼ同一であったことです。この一貫した静的なパターンが、最終的にその解明の基礎となりました。この技術に関する詳細な情報については、SynthID - Google DeepMindをご覧ください。

AI研究者Alosh Dennyの画期的な発見は、SynthIDの設計における根本的な欠陥を露呈しました。Google DeepMindが示唆したように、その「見えない」ウォーターマークは真にランダムなノイズではなかったのです。代わりに、Dennyは信号内に埋め込まれた、非常に予測可能なresolution-dependent carrier frequency structureを発見しました。この一貫したパターンは、ハッキング不可能で堅牢なシステムであるという主張に反し、リバースエンジニアリング可能な決定論的要素を明らかにしました。

Dennyの巧妙な手法は、Geminiモデルからの空白の画像出力、特に「Gemini white」と「Gemini black」を分析することを含んでいました。これらの手付かずの、コンテンツのないキャンバスは、ウォーターマークの生の信号を実際の画像データから分離することを可能にし、極めて重要であることが証明されました。これらの純粋な背景を調べることで、彼は明確なウォーターマークコンポーネントが存在する正確なFourier transform座標を正確に特定し、そのスペクトル位置を効果的にマッピングしました。

さらなる分析により、ウォーターマークの信号がカラーチャネル間で不均等に分布していることが明らかになりました。これは、真に分散された信号に期待されるような均一な分布ではありませんでした。グリーンチャネルは重み1.0で最強の信号を運び、次にレッドが0.85、ブルーが最も弱い信号を0.7で運びました。信号のスペクトルフットプリントとそのチャネル分布に関するこの詳細な理解は、その根底にある数学的構造を解明するために不可欠でした。

最も重要なことに、Dennyは深刻な脆弱性を発見しました。ウォーターマークの位相テンプレートが、同じGeminiモデルによって生成されたすべての画像でほぼ同一のままであったのです。この静的で繰り返し可能な署名は、事実上マスターキーとして機能しました。Googleのシステムは、ユニークで弾力性のある埋め込みのために設計されていましたが、代わりに非常に予測可能で均一なパターンを生成し、「ハッキング不可能」なシステムを驚くほど一貫性のあるものにしていました。

この固有の均一性により、攻撃者は、画質を低下させ、簡単に検出されることが多い、重いJPEG圧縮やノイズの追加といった総当たり攻撃を用いる必要がなくなりました。代わりに、Dennyはこの一貫した位相テンプレートを利用して、外科的な攻撃を考案することができました。同一のテンプレートは、画像の視覚的完全性を損なうことなく、ウォーターマークのコヒーレンスを特定し、標的とし、操作するための正確な青写真を提供しました。

この不変の位相テンプレートの発見は、SynthIDの強みとされていたものを最大の弱点に変えました。これによりDennyは、ウォーターマークの正確な周波数ビンを詳述する「スペクトルコードブック」を構築することができました。このレベルの予測可能性は、除去に抵抗するためにある程度のランダム性または複雑さに依存するあらゆるデジタルウォーターマークの核となるセキュリティ前提を損ないます。Dennyの発見は、暗号学とセキュリティにおける核となる原則を確認するものです。すなわち、完全に特性化された静的な数学的信号は、標的型攻撃に対して脆弱になるということです。この進展は、AIウォーターマークの進行中のいたちごっこを大きく変え、数学における可視性が最終的に削除につながることを証明しています。

GoogleのSynthIDウォーターマークを無効化しようとするこれまでの試みは、しばしば粗野な総当たり戦術に頼っていました。これらの方法には、重いJPEG圧縮や無差別なノイズの追加が含まれ、埋め込まれた信号を圧倒することを目的としていました。検出を妨害するのに効果的な場合もありましたが、必然的に画質に著しい目に見える劣化をもたらし、多くの目的でコンテンツを使用不能にしていました。

Alosh Dennyの画期的な発見は、そのような破壊的な戦略からの明確な脱却を示しました。彼のプロジェクトは、広範囲にわたる消去ではなく、ピンポイントの精度でウォーターマークを標的とするよう慎重に設計された外科的アプローチを採用しました。この精密な方法は、位相シフト攻撃として知られています。

信号を消去しようとする総当たり技術とは異なり、Dennyの攻撃はそれを綿密に操作します。彼の以前の分析で特定された特定の周波数ビンを正確に標的とすることで、彼は埋め込まれたウォーターマークの位相をシフトさせます。この行動は信号を完全に除去するのではなく、その数学的署名を根本的に変更します。

この正確な位相操作は、ウォーターマークのコヒーレンスを破壊し、Googleの検出器にとって意味のないものにします。スペクトラム拡散符号化は、信号全体にわたる一貫した予測可能な位相関係に依存しています。このパターンを破壊することで、Dennyは基礎となるデータを削除することなく、効果的にコードを破ります。検出器はもはや「見えない」マークを認識できません。

この外科的攻撃の有効性は、SynthIDの回復力に関する主張にとって壊滅的であることが証明されました。Dennyの攻撃を受けた画像を処理すると、ウォーターマークを識別する検出器の信頼度は90%以上急落しました。この劇的な低下は、コンテンツの真正性を検証するシステム能力における深刻な侵害を示しました。

決定的に重要なのは、このプロセス全体を通じて視覚コンテンツの完全性が事実上損なわれなかったことです。ウォーターマークは検出器からは消えましたが、画質は印象的な43 dB PSNR (Peak Signal-to-Noise Ratio) を維持しました。人間の目には、変更された画像は元のウォーターマークのない画像と区別がつきません。

Dennyの綿密な分析により、別の重大な弱点が明らかになりました。watermark信号が画像のカラーチャンネル全体に均等に分布していなかったのです。この不均一な分布は、攻撃者が悪用できる明白で予測可能なパターンを提供しました。均一な存在ではなく、信号はRGBスペクトル内で明確な階層を示し、その特徴を特定しやすくしていました。

green channelは常に最も強い信号を運び、完全に1.0の重み付けがされていました。それに続き、red channelは0.85で有意ながらも減少した存在感を示しました。対照的に、blue channelは最も弱い信号を含み、わずか0.7を記録しました。この特定の非対称な重み付けはランダムではなく、周波数領域を精査する者にとって明確な指紋を提供しました。

カラーチャンネル間の信号強度のこの予測可能な不均衡は、敵対者にとって決定的な利点となりました。これは、watermarkが均一に拡散された存在ではなく、識別可能な領域に集中していることを意味しました。これにより、一般的な妨害から正確な切除へと移行する、非常に標的を絞ったアプローチが可能になりました。

解像度に依存するキャリア周波数の以前の発見と相まって、このチャンネルの重み付けは、解体への多面的なロードマップを提供しました。これにより、Googleの「ハッキング不可能な」システムが静的な数学的特性に依存しており、それがリバースエンジニアリングされると、その破滅につながることが明らかになりました。信号は人間の目には見えませんが、そのデジタルフットプリントは決してランダムではありませんでした。

以前の、効果の低いwatermark除去方法は、しばしばブルートフォース技術を採用していました。これには、重いJPEG圧縮や無差別なノイズの追加が含まれ、これらは常に画質を低下させました。そのような方法はwatermarkを不明瞭にするかもしれませんが、AI生成コンテンツの完全性を根本的に損ないました。

しかし、Dennyの発見は、はるかに外科的なアプローチを可能にしました。特定のチャンネル分布とキャリア周波数を理解することで、攻撃者は画像の視覚的忠実度を損なうことなく、watermarkを分離し、除去の標的とすることができました。watermarkの構成に関するこの正確な理解は、破壊的な当て推量ゲームから、系統的で標的を絞った操作へと課題を変えました。これらの方法とプロジェクトのコードに関するさらなる技術的な詳細については、研究者はaloshdenny/reverse-SynthID - GitHubを探索できます。この予測可能な不均衡は、Googleの回復力があるとされるシステムを解き放つための重要な鍵となりました。

Google DeepMindは当初、SynthIDを「ハッキング不可能な」見えないwatermarkとして擁護し、AI生成の誤情報やディープフェイクの増加に対する重要な防波堤と位置づけていました。この大胆な主張は、彼らのソリューションを生成AIコンテンツの信頼の礎石として位置づけ、一般的な改ざんに対する回復力を約束しました。しかし、Alosh DennyのReverse SynthIDプロジェクトは現在、この物語に厳しく異議を唱え、完全なバイパスの説得力のあるオープンソースの証拠を提供しています。

DennyによるReverse SynthIDの公開後、Googleの公式声明はより穏やかなトーンを採用しました。彼らはwatermarkが「堅牢」であり、従来の画質を低下させる方法では「体系的に除去できない」と主張しています。この主張は、侵害の深刻さを軽視しようとし、Dennyの発見にもかかわらず、中核技術が大部分は持続していることを示唆しています。

Denny氏の仕事は、Googleが主張する体系的な回復力に真っ向から反論しています。彼のプロジェクトは、外科的な位相シフト攻撃を実証しており、これは、ウォーターマークのコヒーレンスを、その解像度に依存する搬送周波数構造と特定のフーリエ変換座標を通じて特定し、正確に標的として無効化します。この方法は、検出器の信頼度を常に90%低下させながら、43 dBのPSNRを維持し、画像をウォーターマーク付きのオリジナルと視覚的に同一に保ちつつ、Googleのシステムには全く検出されないようにします。

Googleの弁明における、微妙だが重要なニュアンスは、SynthIDが「極端な画像操作」に対して万能ではないことを認めています。この認容は、「極端」の正確な定義について疑問を投げかけます。特にReverse SynthIDの標的を絞った精度と比較した場合です。Denny氏の技術は、ブルートフォースとはかけ離れており、ウォーターマークの根底にある構造に対する深い理解を活用し、カラーチャネル間での不均一な分布（緑が1.0で最も強く、赤が0.85、青が0.7）を正確に特定しています。

このような正確で非破壊的な位相シフトを「極端な画像操作」と分類することは、彼らの当初の「ハッキング不可能」という主張の範囲を再定義しようとする試み、あるいは発見された脆弱性の責任を転嫁しようとするもののように感じられます。以前の、視覚品質を低下させる重いJPEG圧縮やノイズ追加を伴う効果の低い方法とは異なり、Denny氏のアプローチは画像を視覚的に完璧な状態に保ちます。この証拠は、本来なら侵入不可能なシステムに対する「極端な」攻撃ではなく、根本的で予測可能な脆弱性が露呈したことを強く示唆しています。

SynthIDのこの侵害は、デジタル透かしに関する根本的な真実を浮き彫りにします。静的で予測可能な数学的信号に基づいて設計されたシステムは、無期限に侵入不可能なままではありません。Alosh Denny氏の「Reverse SynthID」プロジェクトは、Googleの実装における脆弱性を露呈しただけでなく、固定パターンに依存するあらゆるウォーターマークの固有の脆弱性を示しました。敵対者が信号の特性を特定すれば、除去は精密なエンジニアリングの問題となります。

ウォーターマークシステムは避けられないジレンマに直面しています。開発者は、クロッピング、サイズ変更、圧縮などの一般的な画像操作に耐えうる十分な強度を持つ信号を埋め込み、その堅牢性を確保する必要があります。しかし、ウォーターマークの強度を高めると、リバースエンジニアにとって検出されやすくなるか、目に見えるアーティファクトを導入し、コンテンツの品質を低下させることがよくあります。Googleは目に見えない、回復力のあるマークを目指しましたが、Denny氏は、根底にある数学が一定である場合、不可視性が破壊不能と同義ではないことを証明しました。

Alosh Denny氏は外科的なバイパスを達成し、SynthID検出器の信頼度を90%以上低下させながら、画像の完璧な43 dB PSNRを維持しました。これは、画像品質を損なう以前のブルートフォース手法とは著しく対照的であり、彼の位相シフト攻撃の洗練度を浮き彫りにしています。Denny氏は、解像度に依存する搬送周波数と、カラーチャネル間での信号の不均一な分布（緑が最も強く、次に赤、次に青）を特定しました。これは、生成された画像におけるほぼ同一の位相テンプレートとともに見られました。

Googleの「ハッキング不可能」なウォーターマークという主張は、最終的に進行中の技術的な軍拡競争という現実に直面しました。あらゆる保護メカニズムに対し、決意を持った研究者はバイパスを追求するでしょう。これはGoogleだけの敗北ではなく、コンテンツ認証ツールを作成するすべての開発者にとって厳しい警告です。ウォーターマークの数学的な設計図が識別可能になった瞬間、その除去は単に解決を待つパズルに過ぎません。この絶え間ない攻防がデジタルセキュリティの状況を定義しており、防御における革新は常に攻撃における創意工夫によって迎え撃たれます。

SynthIDの最近の脆弱性は、AIコンテンツ検証の単一ソリューションとしての埋め込み型透かしの限界を浮き彫りにしています。SynthIDのようなシステムは、目に見えない信号をピクセルに直接注入しますが、Alosh DennyのReverse SynthIDプロジェクトによって示されたように、高度な攻撃に対するその脆弱性は、補完的な戦略の探求を必要とします。

注目を集めている有力な代替策の1つは、Content Authenticity Initiative (C2PA)であり、Adobe、Arm、Intel、Microsoft、BBCを含む業界横断的な連合によって開発されたオープンな技術標準です。C2PAは、コンテンツ検証に対して根本的に異なるアプローチを採用しています。

コンテンツ自体を変更する代わりに、C2PAは、安全で改ざん防止機能のある暗号化メタデータをデジタル資産に添付することに焦点を当てています。このメタデータは、デジタル栄養表示ラベルのように機能し、資産の出所、作成日、および変更履歴の完全な記録を残します。

このシステムは、画像データ内の隠された信号に依存することなく、監査可能で検証可能な来歴の記録を提供します。その目的は、デジタルコンテンツの途切れない管理履歴を提供することで信頼を確立することです。

この2つを比較すると、SynthIDのピクセル埋め込みアプローチは、ファイルヘッダーが削除されても信号が残るため、単純なメタデータ剥奪に対して理論的な回復力があります。しかし、「ハッキング不可能」という主張は、Reverse SynthIDによって実証的に異議を唱えられています。詳細については、GoogleのSynthID AI透かし技術がリバースエンジニアリングされたと主張される | テクノロジーニュース - Gadgets 360をご覧ください。

対照的に、C2PAは、資産の来歴に関するはるかに包括的で標準化された記録を提供し、複雑なデジタルワークフローにおける信頼確立に不可欠です。その主な弱点は、メタデータへの依存であり、コンテンツ作成と配布のあらゆる段階で普遍的に適用されない場合、剥奪される可能性があります。

最終的に、埋め込み型透かしと堅牢なメタデータ標準の両方を組み合わせた多層的なアプローチが、AI生成の誤情報の増大する脅威に対する最も耐久性のある防御策を提供する可能性があります。デジタルのかくれんぼゲームは続き、検出と難読化の両方で革新を推進しています。

Alosh DennyによるGoogleのSynthIDの迅速な解体は、単なる技術的な敗北をはるかに超えています。それは、私たちのデジタル情報エコシステムにおける信頼の根幹に対する深刻な打撃を意味します。Googleは、「ハッキング不可能」な透かしを、AI生成の誤情報やディープフェイクの増大する波に対する重要な防波堤として位置付けていました。その迅速な転覆は、そのような保証の脆弱性を露呈させます。

この事件は、生成AIの時代における危険なパラドックスを浮き彫りにしています。AIモデルがますます区別がつかない、写真のようにリアルで説得力のあるコンテンツを生成するにつれて、真正性のための埋め込み型技術ソリューションへの私たちの集合的な依存度は指数関数的に増加します。しかし、洗練された透かしから暗号署名に至るまで、これらのソリューション自体が明らかに誤りやすいことが判明しています。Dennyが特定した「解像度依存のキャリア周波数構造」と、カラーチャネル全体にわたる不均一な信号分布は、固有の脆弱性を浮き彫りにしています。

Dennyの「位相シフト攻撃」は、43 dB PSNRで画質を維持しながら透かしを外科的に除去するもので、固有の課題を明らかにしています。以前のブルートフォース攻撃は画像を劣化させましたが、彼の方法は、検出器の信頼度を90%以上破壊しながら、視覚的な完璧さを維持します。この洗練された回避策は、コンテンツが人間の目には完璧に見えるが、検証可能なデジタル来歴を持たない未来を示唆しています。

ジャーナリズム、民主的プロセス、そして個人のアイデンティティへの影響は計り知れません。Googleのような巨大テック企業が開発したシステムでさえ、Alosh Dennyによってこれほど徹底的に破られてしまうのであれば、私たちはどんなデジタルコンテンツを信頼できるのでしょうか？これは単なるソフトウェアのバグではなく、私たちの現実認識における根源的な揺らぎなのです。

私たちは最終的に、出所を不明瞭にしようとする者たちの絶え間ない革新に耐えうる、真に回復力があり、偽造不可能なAIコンテンツ検証方法を開発できるのでしょうか？それとも、オンラインで目にするもの、耳にするもの、読むものを決して完全に信頼できない時代に不可逆的に突入し、永遠に疑念と欺瞞のサイクルに囚われてしまうのでしょうか？

GoogleのSynthIDとは何ですか？

SynthIDは、Google DeepMindによるツールで、画像などのAI生成コンテンツに目に見えないデジタルwatermarkを埋め込み、それらがAIによって作られたものであることを識別するのに役立ちます。

SynthIDはどのように破られたのですか？

Alosh Dennyという開発者が、「phase shift attack」を用いてwatermarkが存在する特定の周波数を標的にし、画像を視覚的に損傷することなく、watermarkを効果的に無効化しました。

SynthIDは今や完全に役に立たないのですか？

Googleは依然として堅牢であると主張していますが、この進展は静的なwatermarksがリバースエンジニアリングされうることを示しています。これはAIセキュリティにおける継続的ないたちごっこを浮き彫りにしています。

SynthIDはMidjourneyやDALL-Eの画像を検出できますか？

No, SynthID can only detect watermarks in content generated by Google's own models, like Gemini, which have the watermarking feature enabled.