ADSENSE
|
Questo post é stato letto 90 volte!
Le immagini ai chatgpt gemini, insieme a quelle generate da altri modelli di intelligenza artificiale, includono spesso filigrane invisibili.
Questo articolo esplora il funzionamento di tali watermark, le ragioni della loro vulnerabilità e le conseguenze legali della loro rimozione.
La sfida delle filigrane invisibili nelle immagini AI
Negli ultimi due anni, la generazione di immagini tramite modelli di intelligenza artificiale è diventata una pratica comune, producendo miliardi di immagini sintetiche attraverso strumenti come OpenAI ChatGPT Images, Google Gemini, Adobe Firefly e Midjourney.
Di pari passo, è emersa la necessità di identificare in modo affidabile i contenuti generati artificialmente.
Per affrontare questa esigenza, le aziende hanno implementato sistemi di watermarking, sia visibili che invisibili, e meccanismi di provenance crittografica come C2PA e Content Credentials.
L’obiettivo è riconoscere i contenuti generati da modelli generativi, contrastando disinformazione, deepfake e manipolazioni fraudolente.
Ogni immagine prodotta con modelli AI integra, di fatto, una speciale filigrana.
Affidabilità della filigrana e strumenti di rimozione
La ricerca sulla sicurezza informatica e la comunità open source stanno sviluppando strumenti per rimuovere o neutralizzare le filigrane di identificazione aggiunte dai modelli generativi.
Un esempio notevole è Remove-AI-Watermarks, un’utilità disponibile su GitHub che promette di eliminare watermark visibili, marker invisibili, metadati AI ed etichette “made with AI” dalle immagini generate.
Questo progetto va oltre la semplice cancellazione dei metadati EXIF, implementando tecniche avanzate come il reverse alpha blending, la rigenerazione diffusion-based, la manipolazione dello spazio latente e alterazioni statistiche dell’immagine per compromettere i sistemi di rilevamento automatico.
Questo rivela una fragilità intrinseca dei watermark AI, spesso incapaci di garantire un’autenticità robusta.
Tipologie di tracciamento nelle immagini AI
Esistono tre categorie principali di tracciamento utilizzate nei generatori di immagini per identificare la loro origine artificiale.
Watermark visibili e la loro rimozione
La prima categoria è il watermark visibile, un elemento grafico sovrapposto all’immagine, come il “sparkle logo” usato da alcune versioni di Gemini/Nano Banana.
L’immagine finale è ottenuta tramite la tecnica dell’alpha blending.
Il principio matematico sottostante è relativamente semplice da invertire se si conoscono la maschera alpha e il logo originale, un processo che strumenti come Remove-AI-Watermarks sono in grado di eseguire per ricostruire i pixel sottostanti.
Watermark invisibili e la loro complessità
Molto più sofisticati sono i watermark invisibili, come SynthID, StableSignature e TreeRing.
Questi sistemi non inseriscono loghi evidenti, ma modificano distribuzioni statistiche, frequenze o pattern latenti dell’immagine.
L’utente non percepisce nulla, ma un rilevatore specializzato può verificare la presenza della filigrana.
In teoria, questi watermark dovrebbero resistere a compressione JPEG, tagli, ridimensionamenti e editing superficiale.
Tuttavia, la loro robustezza dipende dalla forza del processo di trasformazione applicato successivamente all’immagine.
Synthid: il sistema di google e la sua evoluzione
Tra i sistemi moderni, SynthID è uno dei più avanzati.
Sviluppato da Google DeepMind, incorpora segnali impercettibili all’occhio umano nelle componenti di frequenza dell’immagine durante la generazione.
Le versioni più recenti, associate a Gemini 3 Pro e Imagen 4, includono payload complessi, come 136 bit di dati incorporati che possono essere collegati a identificativi di sessione o account.
L’obiettivo non è solo etichettare un’immagine come “AI-generated”, ma mantenere una tracciabilità persistente dell’origine del contenuto.
Nonostante ciò, Remove-AI-Watermarks dimostra che la rimozione del watermark da una copia dell’immagine non elimina i registri lato server mantenuti dal provider.
Rigenerazione diffusion-based e protezione del volto
La rigenerazione diffusion-based è una tecnica avanzata per compromettere i watermark invisibili.
Rigenerazione per rompere il watermark
La parte tecnicamente più interessante del progetto Remove-AI-Watermarks è il flusso di rigenerazione diffusion-based delle immagini.
Invece di cancellare direttamente il watermark invisibile, il sistema compromette il pattern statistico che lo rappresenta, rigenerando parzialmente il contenuto tramite un modello a diffusione.
L’immagine viene ridimensionata, compressa in uno spazio latente, “arricchita” con rumore, sottoposta a diffusione inversa e infine decodificata e scalata.
L’immagine viene “ricreata” sufficientemente da rompere il watermark senza alterarne drasticamente l’aspetto visivo, sfruttando la fragilità statistica del watermark rispetto alla struttura semantica dell’immagine.
Face protection e humanizer per un aspetto reale
Un problema comune della rigenerazione diffusion-based è la degradazione dei volti umani.
Remove-AI-Watermarks utilizza YOLO per rilevare persone e volti, estraendo le regioni sensibili prima della rigenerazione e reintegrandole con un blending morbido.
La funzione Analog Humanizer va oltre, alterando l’immagine per farla sembrare una fotografia reale, applicando effetti come grana della pellicola, aberrazione cromatica e micro-imperfezioni, che rendono meno affidabili i classificatori automatici addestrati a individuare artefatti AI.
Rimozione dei metadati AI e la sfida dei watermark
I metadati sono il bersaglio più semplice da rimuovere, mentre i watermark invisibili pongono sfide più complesse.
Metadati: il bersaglio più semplice
Molti sistemi AI incorporano informazioni esplicite nei file, come prompt, seed, modello utilizzato e identificatori.
Social network utilizzano questi campi per mostrare badge come “made with AI”.
Remove-AI-Watermarks elimina dati EXIF, chunk PNG, XMP, DigitalSourceType, manifest C2PA e Content Credentials.
Questa operazione è relativamente semplice, poiché i metadati sono strutture standardizzate facilmente modificabili o rimovibili.
La difficoltà di creare watermark robusti
Il lavoro di Remove-AI-Watermarks evidenzia che un watermark sufficientemente invisibile deve alterare l’immagine in modo minimo.
Tuttavia, una minima alterazione rende il watermark vulnerabile a trasformazioni che lo distruggono pur preservando il contenuto percepito.
Un watermark troppo “forte” diventa visibile, degradando l’immagine, mentre uno troppo “debole” è fragile.
I modelli diffusion-based moderni, paradossalmente, possono sia creare immagini che rimuovere i marker di provenienza, rendendo la sfida ancora più complessa.
L’ai act europeo e la trasparenza obbligatoria
L’AI Act europeo introduce obblighi di trasparenza per i sistemi generativi e i deepfake.
Obblighi normativi e la questione della legittimità
L’articolo 50 dell’AI Act impone obblighi informativi agli utenti, richiedendo che i contenuti sintetici siano riconoscibili e che gli utenti siano consapevoli di interagire con l’AI.
La piena applicazione delle misure tecniche di marking è posticipata, e non esiste ancora un obbligo tecnico uniforme europeo per uno standard specifico di watermarking, ma un obbligo di risultato per garantire trasparenza.
La normativa europea non vieta esplicitamente gli strumenti di rimozione, distinguendo tra strumento tecnologico e utilizzo illecito.
Un tool può essere legittimo per ricerca o auditing, ma problematico se usato per frode, impersonificazione o disinformazione.
Nel caso dei watermark AI, il rischio giuridico aumenta quando la rimozione è finalizzata a nascondere l’origine sintetica di un contenuto, aggirare policy o creare manipolazioni.
Questo post é stato letto 90 volte!