Breaking Semantic-Aware Watermarks via LLM-Guided Coherence-Preserving Semantic Injection

Este artigo apresenta o ataque CSI, que utiliza a capacidade de raciocínio estruturado de Grandes Modelos de Linguagem (LLMs) para injetar alterações semânticas localmente refinadas, mas globalmente coerentes, demonstrando que essas manipulações conseguem burlar eficazmente as marcas d'água semânticas projetadas para proteger a proveniência de imagens geradas.

O essencial

Imagine que você está em uma festa onde todos estão mostrando fotos incríveis geradas por Inteligência Artificial (IA). Para saber quem é o dono da foto ou se ela é real, os criadores dessas IAs colocaram um "selo invisível" dentro da imagem. É como se cada foto tivesse um tatuagem secreta feita de "ruído" (aquela granulação que vemos em fotos antigas) que só a máquina original consegue ler.

Até hoje, acreditava-se que, se você tentasse mudar a foto (por exemplo, trocar o cachorro por um gato), essa tatuagem secreta se quebraria e o detector gritaria: "Ei, essa foto foi adulterada!".

Mas os autores deste artigo descobriram uma maneira de enganar esse sistema. Eles criaram um novo ataque chamado CSI (que não é o da TV, mas significa Injeção Semântica que Preserva a Coerência).

Aqui está a explicação simples de como eles fizeram isso:

1. O Problema: A "Tatuagem" é Fraca

Antes, os selos de segurança eram como tinta no papel. Se você rasgasse o papel (mudasse a imagem), a tinta sumia.
Para consertar isso, os cientistas criaram selos mais inteligentes (chamados SEAL). Eles disseram: "Ok, a tatuagem não está só no ruído, ela está ligada ao significado da foto. Se você mudar o significado, a tatuagem quebra".
A lógica era: "Se a foto é de um cachorro, você não pode mudar para um gato sem quebrar o selo".

2. A Solução dos Cracker: O "Tradutor Mágico" (LLM)

Os autores do artigo usaram um Modelo de Linguagem Grande (LLM), que é basicamente um "super-robô" que entende muito bem como as palavras e ideias funcionam juntas.

Eles pediram ao robô: "Mude a foto para que o cachorro vire um gato, mas mantenha o 'espírito' da foto exatamente igual, de forma que o selo de segurança pense que nada mudou."

3. A Analogia da "Receita de Bolo"

Pense na imagem gerada por IA como um bolo.

• A Tatuagem (Marca d'água): É como uma receita secreta escrita no fundo da forma do bolo.
• O Ataque Antigo: Era como tentar trocar o chocolate por baunilha. O sabor mudava tanto que a receita secreta não fazia mais sentido e o detector percebia a fraude.
• O Ataque CSI (O Novo): O robô (LLM) é um chef de cozinha genial. Ele pega a receita secreta e diz: "Ok, vamos trocar o chocolate por baunilha, mas vamos ajustar a temperatura do forno e o tempo de cozimento de uma forma tão perfeita que o bolo final tenha o mesmo peso, a mesma textura e o mesmo cheiro do original".

O resultado? O bolo (a imagem) parece diferente (tem um gato em vez de um cachorro), mas a "assinatura" interna (a marca d'água) continua intacta porque o robô manteve a coerência de tudo.

4. Como Funciona na Prática?

O ataque funciona em duas etapas principais, como um filtro de segurança duplo:

1. O Robô Sugere Mudanças: O LLM cria várias versões da frase que descreve a imagem (o "prompt"). Ele tenta mudar detalhes (ex: "cachorro" para "gato"), mas mantém o resto da frase muito parecido com o original.
2. O Filtro de Segurança (O "Detetive"): Antes de mostrar a foto final, o sistema verifica três coisas:
   • Texto: A frase nova ainda fala sobre o mesmo assunto principal? (Sim).
   • Imagem: A foto gerada ainda parece ter o mesmo "assunto" principal? (Sim).
   • A Marca Secreta: A foto gerada ainda combina perfeitamente com o "ruído" original que continha a marca d'água? (Sim!).

O Resultado Final

O artigo mostra que, enquanto os métodos antigos de segurança falhavam totalmente contra esse tipo de ataque (0% de sucesso), o novo método CSI conseguiu enganar os sistemas de segurança mais avançados em 81% dos casos.

Em resumo:
Os pesquisadores provaram que, se você usar um "cérebro" de IA (LLM) inteligente para fazer mudanças sutis e coerentes em uma imagem, você pode burlar até os sistemas de segurança mais modernos que tentam proteger o conteúdo das imagens. É como se um falsificador aprendesse a imitar não apenas a assinatura de alguém, mas também a maneira como essa pessoa segura a caneta e a pressão que aplica no papel.

Isso é um alerta importante: a segurança das imagens geradas por IA precisa evoluir, porque os "hackers" agora têm robôs que entendem o significado das coisas, não apenas os pixels.

Resumo técnico

Resumo Técnico: Quebra de Marcas D'Água Semânticas via Injeção Semântica Preservadora de Coerência Guiada por LLM

1. Problema e Contexto

Com a proliferação de imagens geradas por modelos de difusão em plataformas web, a necessidade de rastreamento de proveniência e prevenção de falsificação tornou-se crítica.

• Marcas D'Água Tradicionais: Métodos baseados em ruído (como Tree-Ring, Gaussian Shading e WIND) inserem sinais no ruído inicial ou latente do modelo. Embora robustos a compressões, eles são vulneráveis a ataques de inversão que recuperam o sinal original.
• Marcas D'Água Semânticas (CSW): Para mitigar isso, esquemas recentes como o SEAL (Semantic-Aware Image Watermarking) vinculam o sinal da marca d'água à semântica de alto nível da imagem. Isso força o atacante a preservar a coerência global ao editar a imagem, tornando forjamentos eficazes muito mais difíceis.
• A Vulnerabilidade Ignorada: O artigo identifica que os modelos de LLM (Large Language Models) possuem capacidades de raciocínio estruturado que permitem explorar espaços semânticos de forma direcionada. Eles podem realizar alterações semânticas localmente granulares, mas globalmente coerentes, quebrando as suposições de segurança dos esquemas CSW. O problema central é que atacar essas marcas d'água equivale a resolver um problema de otimização semântica com múltiplas restrições em um espaço de prompts discretos, tarefa que os LLMs são excepcionalmente aptos a realizar.

2. Metodologia: CSI (Coherence-Preserving Semantic Injection)

Os autores propõem um ataque chamado CSI, que utiliza manipulação semântica guiada por LLM sob restrições de similaridade no espaço de incorporação (embedding). O fluxo de trabalho divide-se em duas etapas principais:

A. Injeção Semântica Adversária via Manipulações Semânticas Coerentes (ASI)

• Objetivo: Encontrar um novo prompt ($t'$) que mantenha os "âncoras globais" (sujeitos principais) da imagem original, mas injete um atributo adversário específico ($a^*$) para alterar a semântica local.
• Otimização por Prompting: Em vez de otimizar tokens diretamente (instável), o LLM atua como um "propositor de caixa preta". Um meta-prompt instrui o LLM a gerar candidatos que preservem o sujeito principal e permitam apenas mudanças semânticas menores, mantendo a coerência geral.
• Regeneração com Ruído Copiado: Para garantir que qualquer mudança na detecção seja devida à edição semântica e não à estocasticidade do modelo, o ataque utiliza o processo de inversão DDIM para copiar o ruído original ($z_T$) e regenerar a imagem com o novo prompt.

B. Filtragem Hierárquica Baseada em Consistência (CHF)
Para garantir que os prompts gerados pelo LLM sejam ataques viáveis, eles passam por um filtro de três níveis:

1. Filtragem Textual: Remove candidatos que se desviam das âncoras globais no texto, calculando a similaridade coseno entre os embeddings do texto original e o novo.
2. Filtragem de Âncora Visual: Regenera a imagem com o novo prompt e o ruído copiado, gera uma nova legenda (via BLIP) e verifica se os objetos principais (âncoras) foram preservados visualmente.
3. Filtragem de Correspondência Semântica CSW: Verifica se a imagem regenerada mantém a alta similaridade semântica com o ruído copiado (o critério de detecção da marca d'água CSW). Apenas imagens que passam por todos os filtros são consideradas ataques bem-sucedidos.

3. Contribuições Principais

1. Primeiro Ataque Sistemático contra CSW: O CSI é apresentado como o primeiro ataque sistemático capaz de contornar esquemas de marcas d'água semânticas conscientes de conteúdo (como o SEAL).
2. Demonstração de Vulnerabilidade Fundamental: O trabalho revela que a segurança atual de marcas d'água semânticas é fundamentalmente falha quando confrontada com perturbações semânticas guiadas por LLMs.
3. Mecanismo de Preservação de Coerência: A introdução do mecanismo ASI+CHF demonstra como é possível manipular a semântica de uma imagem sem quebrar a consistência global exigida pelos verificadores de marca d'água.

4. Resultados Experimentais

Os experimentos foram conduzidos usando o modelo Stable Diffusion V2 e o LLM GPT-4o-mini, comparando o CSI com ataques baselines (RPM e LFA) contra quatro tipos de marcas d'água.

• Marcas D'Água Independentes de Conteúdo (GSW, Tree-Ring, WIND): Todos os métodos (incluindo os baselines) atingiram ~100% de Taxa de Sucesso de Ataque (ASR), confirmando sua vulnerabilidade.
• Marca D'Água Semântica Consciente de Conteúdo (SEAL):
  • Baselines (RPM/LFA): Falharam quase completamente, com ASR de 0% e 7%, respectivamente.
  • CSI (O Método Proposto): Alcançou uma ASR impressionante de 81%, superando significativamente os baselines.
• Análise de Métricas de Detecção:
  • SEAL: O ataque manteve a contagem de correspondência de patches (métrica de detecção) em média 134.8, muito acima do limiar de 12, indicando que a coerência semântica foi preservada.
  • Tree-Ring: A distância L1 entre o ruído reconstruído e o de referência foi de 47.42, bem abaixo do limiar de detecção de 77.00.
  • Gaussian Shading: Alcançou pontuação de correspondência perfeita (1.00).
• Preservação Semântica (FID): O método CSI reduziu a distância Fréchet Inception (FID) em 24,1% em comparação com a regeneração sem restrições (RPM), aproximando-se da distribuição da imagem original (SEAL). Isso prova que o LLM conseguiu editar a imagem mantendo a estrutura semântica global necessária para enganar o detector.

5. Significado e Conclusão

O artigo conclui que as marcas d'água semânticas atuais, mesmo as mais avançadas como o SEAL, não são robustas contra ataques que exploram a capacidade de raciocínio e manipulação de prompts dos LLMs.

• Implicação de Segurança: Existe uma lacuna crítica de segurança; os defensores não podem mais confiar apenas no acoplamento entre ruído e semântica, pois os LLMs podem navegar no espaço de prompts para encontrar soluções que satisfaçam as restrições de coerência enquanto alteram o conteúdo.
• Futuro: O trabalho destaca a necessidade urgente de desenvolver mecanismos de marca d'água hierárquicos e mais robustos, capazes de defender-se contra perturbações adversárias em nível semântico, e não apenas em nível de ruído ou pixel.