Разработчик взломал невидимые водяные знаки Google в изображениях Gemini с помощью 200 чёрных картинок и математики

Google годами уверяла: каждое изображение, которое генерирует Gemini, помечено невидимым водяным знаком SynthID. Защита, по замыслу разработчиков из DeepMind, должна была выдерживать обрезку, сжатие, скриншоты и смену формата. Более десяти миллиардов единиц контента уже получили эту метку. Казалось, система надёжна.

Разработчик Алош Денни разобрал её за несколько недель. Без нейросетей, без утечек кода, без инсайдерской информации.

Инструментарий оказался минимальным: 250 изображений, сгенерированных в Gemini, классическое преобразование Фурье и базовый Python. Денни выяснил, что SynthID прячет сигнал не в пикселях напрямую, а в фазовых соотношениях на конкретных несущих частотах в частотной области изображения. Проще говоря, водяной знак вшит в саму математическую структуру картинки, а не в её видимые точки.

Ключевое открытие оказалось неожиданно простым. Если усреднить несколько сплошных чёрных изображений, созданных Gemini, любое отклонение пикселя от нуля и есть сам водяной знак, ничем больше не замутнённый. Денни так и сделал. Сигнал обнажился.

Дальше он применил спектральный анализ FFT и нашёл несущие частоты, на которых SynthID работает. Выяснилось, что шаблон фаз фиксирован: у всех изображений одной модели он идентичен. Фазовая когерентность на несущих частотах достигает 99,99%. То есть система буквально ставит одну и ту же подпись на каждую картинку. Это удобно для верификации, но смертельно с точки зрения безопасности.

На основе собранных данных Денни построил детектор, который определяет наличие SynthID с точностью 84%. Затем создал инструмент обхода: он снижает фазовую когерентность сигнала на 91%, убирает 75% энергии несущих и при этом почти не портит изображение визуально. Показатель качества PSNR остаётся выше 43 дБ, что соответствует фактически незаметным потерям.

Самое интересное в этой истории не то, что защита оказалась слабой. Интересно другое: её удалось вскрыть методами, которые описаны в любом учебнике по цифровой обработке сигналов. Никакого специального доступа, никаких дорогостоящих вычислений. Только математика.

Весь код опубликован на GitHub в репозитории reverse-SynthID под исследовательской лицензией. Сам автор подчёркивает, что проект носит образовательный характер и предназначен для анализа методов цифровой стеганографии и безопасности систем маркировки контента.

Google DeepMind пока официально не комментировала эту работу.