Breaking Semantic-Aware Watermarks via LLM-Guided Coherence-Preserving Semantic Injection

Questo lavoro rivela una vulnerabilità fondamentale nei sistemi di filigrana semantica per immagini generative, dimostrando che un attacco guidato da modelli linguistici (LLM) chiamato CSI può manipolare le semantica in modo coerente per eludere i rilevatori senza compromettere la coerenza globale dell'immagine.

L'essenziale

Immagina di avere un dipinto digitale creato da un'intelligenza artificiale. Per proteggere questo dipinto e dimostrare che è originale, gli artisti digitali hanno iniziato a nascondere un "sigillo invisibile" (un filigrana) direttamente nella "polvere" o nel rumore che l'IA usa per creare l'immagine. È come se, invece di firmare il quadro, firmassero la nebbia che ha formato le nuvole nel cielo del quadro.

Fino a poco tempo fa, si pensava che questo metodo fosse inattaccabile. Se qualcuno provava a modificare il quadro (ad esempio cambiando il colore di un vestito o aggiungendo un cappello), il "sigillo" si rompeva e il sistema di sicurezza gridava: "Attenzione! Qualcuno ha manomesso quest'opera!".

Ma ecco il problema scoperto in questo nuovo studio:
Gli autori della ricerca hanno scoperto che le grandi intelligenze artificiali linguistiche (come ChatGPT o modelli simili) hanno un superpotere: capiscono il significato delle cose meglio di chiunque altro. Hanno usato questa capacità per creare un nuovo tipo di attacco chiamato CSI (Iniezione Semantica che Preserva la Coerenza).

Ecco come funziona, spiegato con una metafora semplice:

L'Analogia del "Traduttore Magico"

Immagina che il "sigillo invisibile" sia un codice segreto nascosto nella trama di un libro.

1. Il vecchio metodo (Attacchi precedenti): Se provavi a cambiare una parola nel libro per nascondere il codice, il libro diventava incomprensibile o il codice si rompeva. Era come se il libro smettesse di avere senso.
2. Il nuovo metodo (CSI): Immagina di avere un traduttore magico (l'LLM) che è un genio della letteratura. Tu gli dici: "Voglio cambiare la scena in cui il protagonista indossa un cappello rosso, ma voglio che la storia rimanga esattamente la stessa, che i personaggi non cambino personalità e che il tono del libro non vari di un millimetro".
   • Il traduttore magico riscrive la scena.
   • Cambia il cappello rosso in uno blu (questo è l'attacco).
   • Ma lo fa in modo così perfetto che il libro sembra scritto dallo stesso autore, con lo stesso stile e lo stesso significato profondo.

Il risultato? Il "sigillo invisibile" (che controllava se la storia era coerente) non si rompe, perché la storia è ancora coerente! Il sistema di sicurezza pensa: "Tutto è a posto, la storia è intatta", mentre in realtà il contenuto è stato modificato.

Cosa hanno fatto gli scienziati?

Hanno creato un "cattivo" digitale (un attacco informatico) che usa l'intelligenza artificiale linguistica per fare esattamente questo:

1. Prende un'immagine con filigrana.
2. Chiede all'IA: "Modifica questo dettaglio (es. cambia il colore degli occhi), ma assicurati che il soggetto principale e il significato dell'immagine restino identici".
3. L'IA riscrive la "ricetta" (il testo che guida l'immagine) in modo che l'immagine cambi leggermente, ma il "sigillo" rimanga valido.

Perché è importante?

Prima di questo studio, si pensava che i filigrane moderni (quelli "consapevoli del contenuto") fossero invincibili perché legavano il codice all'immagine stessa. Questo studio dice: "No, non lo sono!".

Dimostra che se un attaccante è abbastanza intelligente da capire la "semantica" (il significato profondo) e usare un'IA per riscrivere l'immagine mantenendo quella coerenza, può ingannare i sistemi di sicurezza più avanzati. È come se un falsario così bravo da copiare non solo la firma, ma anche la calligrafia, l'inchiostro e la carta, rendendo il falso indistinguibile dall'originale per i sistemi di controllo.

In sintesi:
Questo paper ci avvisa che la sicurezza delle immagini generate dall'IA deve evolversi. Non basta più nascondere il codice nella "nebbia" o legarlo al significato superficiale, perché le nuove intelligenze artificiali possono riscrivere la realtà mantenendo l'inganno perfetto. Dobbiamo trovare nuovi modi per proteggere le nostre creazioni digitali prima che i "traduttori magici" diventino troppo abili.

Sommario tecnico

1. Il Problema

Con la proliferazione di immagini generate da modelli di diffusione (Diffusion Models) sui social media e nelle piattaforme web, la tracciabilità della provenienza e la prevenzione della contraffazione sono diventate critiche.

• Vulnerabilità delle tecniche esistenti: I metodi di filigrana (watermarking) basati sul rumore (es. Tree-Ring, Gaussian Shading) sono vulnerabili agli attacchi di inversione, che permettono di recuperare il segnale nascosto.
• Limiti delle filigrane semantiche: Per ovviare a ciò, sono state introdotte filigrane "consapevoli del contenuto" (Content-Aware Semantic Watermarks - CSW), come SEAL. Queste legano il segnale della filigrana alla semantica di alto livello dell'immagine, rendendo difficile alterare l'immagine senza distruggere la coerenza globale e invalidare la filigrana.
• La nuova minaccia: Il paper identifica una vulnerabilità fondamentale nelle assunzioni di sicurezza delle CSW. I Large Language Models (LLM) possiedono capacità di ragionamento strutturato che permettono di esplorare lo spazio semantico in modo mirato. Gli autori sostengono che è possibile apportare alterazioni semantiche fini e localizzate che mantengono la coerenza globale, aggirando così i vincoli delle filigrane semantiche attuali.

2. Metodologia: Coherence-Preserving Semantic Injection (CSI)

Gli autori propongono un attacco chiamato CSI, che sfrutta un LLM per manipolare la semantica dell'immagine mantenendo la coerenza necessaria per ingannare il rilevatore. Il flusso di lavoro si articola in tre fasi principali:

A. Iniezione Semantica Avversaria tramite Manipolazioni Coerenti (ASI)

L'obiettivo è trovare un nuovo prompt ($t'$) che:

1. Preservi gli "ancoraggi globali" (soggetti principali).
2. Inietti un attributo target specifico (l'alterazione desiderata).
3. Permetta la rigenerazione dell'immagine mantenendo l'allineamento semantico con il rumore originale della filigrana.

Poiché l'ottimizzazione diretta su token discreti è instabile, l'attacco utilizza un approccio "Optimization-by-Prompting":

• L'LLM agisce come un propositore "black-box" che genera un batch di candidati di prompt coerenti semanticamente, basandosi su un meta-prompt che definisce gli obiettivi e i vincoli.
• Vengono riutilizzati i dati di rumore copiati dal processo di inversione DDIM per garantire che qualsiasi cambiamento nel rilevatore sia dovuto esclusivamente alle modifiche semantiche e non alla casualità del campionamento.

B. Filtraggio Gerarchico Basato sulla Coerenza (CHF)

Per selezionare i prompt migliori, viene applicato un processo di filtraggio a più livelli:

1. Filtraggio Testuale: Rimuove i candidati che si discostano dagli ancoraggi globali, calcolando la similarità coseno tra le rappresentazioni testuali degli ancoraggi originali e quelli modificati.
2. Filtraggio Visivo: Rigenera l'immagine con il prompt candidato e il rumore originale, quindi usa un modello (BLIP) per generare una nuova descrizione. Si verifica se gli ancoraggi visivi sono stati preservati.
3. Filtraggio CSW (Consapevole del Contenuto): Verifica la coerenza semantica tra l'immagine rigenerata e il rumore originale della filigrana. Solo le immagini che superano tutte le soglie (testo, visivo e allineamento rumore-immagine) vengono accettate come attacco riuscito.

3. Contributi Chiave

1. Primo attacco sistematico alle CSW: Il paper presenta il primo attacco sistematico contro schemi di filigrana semantica consapevole del contenuto (come SEAL).
2. Dimostrazione della vulnerabilità LLM: Dimostra che le capacità di ragionamento degli LLM possono essere sfruttate per risolvere problemi di ottimizzazione semantica vincolata, invalidando le assunzioni di sicurezza attuali.
3. Framework CSI: Introduce un metodo che combina iniezione semantica avversaria e filtraggio gerarchico per alterare localmente il contenuto mantenendo la coerenza globale necessaria per eludere il rilevamento.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su Stable Diffusion V2 utilizzando GPT-4o-mini come LLM, confrontando CSI con attacchi baselines (RPM e LFA) contro diverse difese (Gaussian Shading, Tree-Ring, WIND, SEAL).

• Contro filigrane indipendenti dal contenuto (CIW): Tutti i metodi (inclusi i baselines) raggiungono un tasso di successo dell'attacco (ASR) vicino al 100%.
• Contro filigrane consapevoli del contenuto (SEAL):
  • Gli attacchi baselines falliscono quasi completamente: RPM ottiene un ASR del 7% e LFA dello 0%.
  • L'attacco CSI ottiene un ASR del 81%, dimostrando una capacità di bypass superiore.
• Analisi delle Metriche di Rilevamento:
  • SEAL: CSI mantiene un alto numero di patch corrispondenti (media 134.8 contro una soglia di 12), eludendo il controllo di coerenza.
  • Tree-Ring (TRW): La distanza L1 tra il rumore ricostruito e quello di riferimento rimane ben al di sotto della soglia di rilevamento (media 47.42 vs soglia 77.00).
  • Coerenza Semantica (FID): L'analisi della Fréchet Inception Distance (FID) mostra che CSI riduce il drift semantico del 24,1% rispetto alla rigenerazione non vincolata (RPM), avvicinandosi alla coerenza dell'immagine originale (SEAL). Questo conferma che l'LLM riesce a preservare la struttura semantica richiesta dalla filigrana mentre altera il contenuto.

5. Significato e Implicazioni

Il lavoro rivela una debolezza fondamentale nel design attuale delle filigrane semantiche. Anche se queste tecniche vincolano il rumore all'immagine, non sono sufficienti contro avversari che possono manipolare lo spazio semantico in modo intelligente e coerente tramite LLM.

• Sicurezza: Le attuali assunzioni di sicurezza che presuppongono la difficoltà di alterare la semantica senza rompere la filigrana sono errate in presenza di modelli linguistici avanzati.
• Futuro della Ricerca: È urgente sviluppare meccanismi di filigrana più robusti, capaci di difendersi non solo da alterazioni di rumore o pixel, ma da attacchi avversari a livello semantico che sfruttano la comprensione contestuale e la coerenza logica offerta dagli LLM.

In sintesi, il paper dimostra che la sicurezza delle filigrane per immagini AI non può più basarsi solo sulla coerenza visiva o sul rumore, ma deve affrontare la capacità degli LLM di "ingannare" il sistema mantenendo la coerenza semantica globale.