Each language version is independently generated for its own context, not a direct translation.

这篇论文提出了一种名为"Spread them Apart"（把它们分开）的新方法，用来给 AI 生成的图片打上“隐形水印”。

为了让你轻松理解，我们可以把这件事想象成给 AI 画的画盖上“隐形印章”。

1. 为什么要这么做？（背景故事）

现在的 AI（比如画图的扩散模型）太厉害了，画出来的猫、风景甚至人像都跟真的一样。这带来两个麻烦：

真假难辨：你分不清这是摄影师拍的，还是 AI 画的。
版权混乱：有人用 AI 画了一幅画，然后声称“这是我画的”，甚至拿去卖钱，侵犯了原作者或 AI 公司的权益。

我们需要一种方法，既能证明“这张图是 AI 画的”，又能查出“是哪个用户让 AI 画的”。

2. 核心创意：把像素“拉开距离”

传统的“水印”像是在图片上盖个半透明的章，或者把信息藏在频率里，容易被修图软件抹掉。

这篇论文的方法非常聪明，它不盖印章，而是强迫图片里的两个像素点“站得远远的”。

比喻：想象你在一张白纸上画两个点，A 点和 B 点。
- 如果 AI 要代表“数字 0"，它必须让 A 点比 B 点亮。
- 如果 AI 要代表“数字 1"，它必须让 A 点比 B 点暗。
- 而且，它不能只是稍微亮一点点，必须亮得足够多（比如亮 0.2 个单位），这样就算有人后来把整张图调暗了，A 点依然比 B 点亮。

这就是论文标题"Spread them Apart"（把它们分开）的含义：强制拉开两个像素点的亮度差距。

3. 具体是怎么操作的？（三个步骤）

第一步：发“秘密钥匙”

当用户注册使用 AI 服务时，系统会给他发一把私钥（Secret Key）。

这把钥匙里包含了一大堆成对的坐标（比如：第 10 个像素和第 500 个像素是一对）。
同时，系统给每个用户分配一串二进制密码（比如：01011...），这就是他的“身份 ID"。

第二步：AI 画画时“偷偷改代码”

当用户输入提示词（比如“一只黑猫”）让 AI 画画时，AI 在生成图片的过程中，会同时做两件事：

努力画得像：保证猫看起来逼真。
努力符合密码：AI 会微调图片，确保那些“成对的像素点”符合用户的密码。
- 如果密码是"1"，AI 就调整画面，让第 10 个像素比第 500 个像素暗。
- 如果密码是"0"，AI 就调整画面，让第 10 个像素比第 500 个像素亮。

关键点：这个过程是在 AI 生成图片的最后一刻完成的，不需要重新训练 AI 模型，就像是在画完画后，用极细的笔尖悄悄调整了两个点的颜色，肉眼根本看不出来。

第三步：事后“验明正身”

如果这张图后来被拿出来了，版权方想知道“这是谁画的”：

拿出用户的私钥（那堆坐标对）。
检查图片里对应的像素点：
- 如果第 10 个点比第 500 个点暗，那就解码出"1"。
- 如果亮，就解码出"0"。
把所有解码出来的数字拼起来，看看是不是某个用户的密码。如果是，那就锁定是他画的。

4. 为什么这个方法很厉害？（鲁棒性）

这个方法最牛的地方在于抗干扰能力，论文里用了数学证明：

抗“调光”：如果有人把图片整体调亮或调暗（比如把照片变黑），只要两个点的相对差距还在，水印就还在。就像两个人比身高，就算把他们都放在电梯里升高了，高个子依然比矮个子高。
抗“旋转/翻转”：论文还提出了一种进阶版（Section 5），不仅检查像素点，还检查图片的数学特征（比如旋转不变的特征）。
- 比喻：就像你不仅看两个人的身高，还看他们手牵手的姿势。就算把照片旋转 90 度，或者把照片倒过来，这种特殊的“数学姿势”依然能识别出来。
抗“恶意攻击”：即使有人用高级算法试图抹除水印（白盒攻击），只要攻击力度不超过一定限度，水印依然能幸存。

5. 实验结果怎么样？

作者用 Stable Diffusion（目前最火的画图 AI）做了测试：

肉眼看不出：加了水印的图和原图几乎一模一样，画质没有下降。
很难被洗掉：经过调亮度、调对比度、加噪点、甚至压缩成 JPEG 后，水印依然能被准确识别。
比对手强：在抵抗各种“去水印攻击”的测试中，这个方法的表现优于目前市面上其他最先进的方案。

总结

这篇论文就像给 AI 生成的图片装了一个隐形的、防篡改的“指纹锁”。

它不需要给 AI 重新“上课”（训练），而是在 AI 画画的时候，悄悄地把两个像素点的距离“拉开”，以此记录用户的身份。无论别人怎么给图片调色、旋转或压缩，只要这个“距离关系”还在，就能揪出是谁用 AI 画了这张图。这对于解决 AI 时代的版权和伦理问题，提供了一个非常实用的工具。

Each language version is independently generated for its own context, not a direct translation.

《Spread them Apart: 面向生成内容的鲁棒性水印技术》技术总结

1. 研究背景与问题定义 (Problem Statement)

随着扩散模型（Diffusion Models）等生成式人工智能的飞速发展，生成图像的质量已达到难以与真实照片区分的地步。这一进步带来了严重的伦理和法律挑战：

版权与归属问题：用户可能利用受版权保护的生成模型生成内容，并声称拥有独家版权，从而违反许可协议。
内容溯源需求：需要自动化工具来验证数字对象是否由特定模型生成，并识别具体的生成用户。

核心问题：如何在生成过程中嵌入数字水印，使其既能被检测（判断是否由该模型生成），又能被归因（识别具体用户），同时具备极强的鲁棒性，能够抵抗各种后处理攻击（如亮度调整、压缩、对抗攻击等）？

2. 方法论 (Methodology)

本文提出了名为 "Spread them Apart" (STA) 的框架，旨在为连续性质的生成内容嵌入鲁棒水印。该方法的核心特点是在**推理阶段（Inference）**嵌入水印，无需重新训练生成模型。

2.1 核心机制：像素级约束

该方法基于用户特定的密钥对（公钥水印 $w$ 和私钥 $s$ ）进行工作：

密钥定义：私钥 $s(u_i)$ 包含 $n$ 对唯一的像素索引 $(a_j, b_j)$ 。公钥水印 $w(u_i)$ 是一个长度为 $n$ 的二进制串。
嵌入逻辑：在图像生成过程中，优化潜在向量（Latent Vector $z$ $z$ ），使得生成的图像 $x$ $x$ 满足特定的像素强度不等式约束：
- 若 $w_j = 0$ ，则 $x_{a_j} \ge x_{b_j}$
- 若 $w_j = 1$ ，则 $x_{a_j} < x_{b_j}$
- 为了增强鲁棒性，引入阈值 $\epsilon$ ，强制 $|x_{a_j} - x_{b_j}| \ge \epsilon$ 。
损失函数：在 Stable Diffusion 的推理过程中，优化一个包含两部分的目标函数：
$\mathcal{L} = \lambda_{wm} \mathcal{L}_{wm} + \lambda_{qual} \mathcal{L}_{qual}$
- $\mathcal{L}_{wm}$ ：确保像素对满足上述不等式约束的水印损失。
- $\mathcal{L}_{qual}$ ：基于 LPIPS 指标的图像质量损失，防止水印嵌入导致图像质量严重下降。

2.2 扩展机制：多水印与不变性 (Robustness to Geometric Attacks)

为了抵抗旋转、平移等几何变换，作者提出了扩展方案（STA(3)）：

三重嵌入：不仅在水印嵌入到原始像素空间，还同时嵌入到对几何变换具有**不变性（Invariance）**的频域特征中。
不变量选择：
- 平移不变量 ( $\gamma_t$ )：利用傅里叶变换的幅度谱（Translation Invariant）。
- 旋转不变量 ( $\gamma_r$ )：利用傅里 - 梅林变换（Fourier-Mellin Transform）的幅度谱（Rotation Invariant）。
联合优化：优化损失函数 $\tilde{\mathcal{L}}$ ，同时满足像素域、平移不变域和旋转不变域的约束。
归因策略：提取三个水印（原始、平移不变、旋转不变），通过双尾检测规则（Double-tail detection）计算距离，选择距离最小的用户作为归属。

2.3 理论保证

加性扰动鲁棒性：论文证明了如果加性噪声的 $L_\infty$ 范数小于像素对之间的最小差异的一半，则至少能保留 $k$ 位水印信息。
乘法与指数鲁棒性：由于水印基于像素间的相对大小关系（ $x_a \ge x_b$ ），因此对亮度/对比度的乘法变换（ $c \cdot x$ ）和伽马校正（ $x^g$ ）具有天然的鲁棒性。

3. 主要贡献 (Key Contributions)

提出 "Spread them Apart" 框架：一种无需重新训练生成模型的推理阶段水印嵌入方法，适用于连续生成内容。
理论鲁棒性证明：从数学上证明了该方法生成的水印对有界幅度的加性扰动、任意乘法扰动以及指数变换具有鲁棒性。
多域扩展：通过结合像素空间和频域不变量，显著提升了水印对几何变换（旋转、平移）的抵抗力。
实验验证：在 Stable Diffusion 模型上进行了广泛实验，展示了其在多种攻击下的优越性能。

4. 实验结果 (Results)

实验基于 Stable Diffusion 2-base 模型，生成了 1000 张图像，水印长度设为 100 位（优于其他方法的 30-48 位）。

4.1 攻击测试

测试了多种水印移除攻击，包括：

常规处理：亮度/对比度调整、伽马校正、锐化、色相/饱和度调整。
噪声与压缩：随机加性噪声、JPEG 压缩。
高级攻击：白盒 PGD 对抗攻击（试图擦除水印）。

4.2 性能对比

与 Stable Signature, SSL, AquaLora, WOUAF 等最先进方法相比：

平均位错误率 (ABWE)：在大多数攻击下，STA 的位错误率极低（例如在亮度、对比度、伽马校正下接近 0.001-0.003），显著优于其他方法。
归因准确率 (TPR)：
- 在常规攻击下，STA 的归因准确率接近 100%。
- 在强对抗攻击（PGD）下，STA 保持了 99.3% 的归因准确率，而 Stable Signature 降至 0%。
- 在几何变换（旋转、平移）测试中，扩展版 STA(3) 的归因准确率（约 96%）远高于基础版 STA(1)（约 0%），证明了多域嵌入的有效性。
水印长度：支持更长的水印（100 位），提高了唯一性和安全性。

5. 意义与结论 (Significance & Conclusion)

无需重训：该方法最大的优势在于不需要微调或重新训练昂贵的生成模型，直接通过优化推理过程中的潜在向量即可实现，易于部署。
双重功能：同时解决了“内容检测”（是否由 AI 生成）和“用户归因”（谁生成的）两个关键问题。
理论结合实践：不仅提供了实验数据，还给出了严格的数学证明，表明水印对常见的图像后处理（如亮度变化、伽马校正）具有内在的鲁棒性。
应用前景：为生成式 AI 的版权保护、内容溯源以及防止 Deepfake 滥用提供了强有力的技术工具，有助于建立更可信的 AI 内容生态系统。

总结： "Spread them Apart" 通过巧妙的像素相对关系约束和频域不变量结合，在保持图像质量的同时，实现了极高鲁棒性的生成内容水印，是目前该领域的一项突破性工作。

Spread them Apart: Towards Robust Watermarking of Generated Content