The Orthogonal Vulnerabilities of Generative AI Watermarks: A Comparative Empirical Benchmark of Spatial and Latent Provenance

该论文通过实证基准测试揭示了生成式 AI 水印中空间域与潜在域存在互斥的数学正交脆弱性，证明了单一域水印无法抵御现代对抗性工具，从而确立了构建多域密码架构的紧迫性。

要点

这篇论文探讨了一个非常紧迫的问题：在 AI 能“无中生有”制造逼真图片的今天，我们如何证明一张图是真的，还是 AI 生成的？

为了解决这个问题，科学家们给 AI 生成的图片打上了“隐形水印”。但这篇论文发现了一个惊人的秘密：目前的隐形水印技术存在两个完全相反的“死穴”，没有任何一种单一的水印是万能的。

为了让你轻松理解，我们可以把这张 AI 生成的图片想象成一座精心设计的房子，而水印就是藏在房子里的防盗警报系统。

1. 两种不同的“警报系统”

目前主要有两种给图片打水印的方法，它们藏警报的位置完全不同：

• 方法 A：空间域水印（Spatial，代表技术：RivaGAN）

  • 比喻：就像把警报器直接贴在墙壁的砖块上（像素点）。
  • 原理：它把加密信息藏在图片的每一个微小色块里。
  • 优点：如果你只是把房子刷个漆（调整亮度）或者切掉一点墙角（裁剪），墙壁上的砖块还在，警报器通常还能响。
  • 缺点：如果坏人把整面墙拆了重砌（用 AI 重新生成图片），或者把墙皮刮掉重新粉刷（AI 局部重绘），原来的砖块就没了，警报器也就彻底失效了。

• 方法 B：潜在域水印（Latent，代表技术：Tree-Ring）

  • 比喻：就像把警报器藏在房子的地基蓝图（频率）里。
  • 原理：它在 AI 开始画图之前的“噪音”阶段，就把信号埋进了图片的数学骨架里。只要房子的整体结构（地基）没变，警报就能响。
  • 优点：即使坏人把墙拆了重砌（AI 重新生成），只要地基蓝图没变，警报依然能响。
  • 缺点：如果坏人把房子切掉了一半（裁剪），导致地基的坐标网格错位了，蓝图就拼不上了，警报器也会失灵。

2. 实验发现：两个“死穴”互不重叠

研究人员用了一个自动化的“黑客模拟器”，对这两种水印进行了 30 种不同强度的攻击测试。结果非常有趣，就像两个性格迥异的保镖：

• 场景一：AI 重绘攻击（比如让 AI 把图里的猫变成狗，但保留背景）

  • 贴砖块警报（RivaGAN）：惨败！因为 AI 重绘相当于把墙皮全换了，砖块上的警报被彻底抹除。失效率高达 67.47%。
  • 地基蓝图警报（Tree-Ring）：大获全胜！因为地基蓝图还在，AI 重绘只是改变了墙面的装饰，没动地基。失效率仅 17.73%。

• 场景二：裁剪攻击（比如把图片切掉一半）

  • 贴砖块警报（RivaGAN）：表现尚可。切掉一点墙，剩下的砖块还能报警。失效率约 22.67%。
  • 地基蓝图警报（Tree-Ring）：惨败！因为裁剪导致地基的网格坐标错位，蓝图拼不上了。失效率飙升至 43.20%。

3. 核心结论：没有完美的单一方案

这篇论文最核心的发现是：这两种水印的弱点是完全“正交”的（互不重叠的）。

• 如果你只依赖“贴砖块”的水印，遇到 AI 重绘就完了。
• 如果你只依赖“地基蓝图”的水印，遇到裁剪就完了。

这就好比你想防小偷，如果只装防盗门，小偷会爬窗户；如果只装防盗窗，小偷会破门而入。目前的单一水印技术，就像只装了一种锁，在复杂的现实攻击面前根本不够用。

4. 未来的出路：双重保险

既然两种方法各有长短，作者提出的未来方案是：“双重加密”。

想象一下，未来的水印系统应该像瑞士军刀一样：

• 既在墙壁砖块里藏一个警报（防 AI 重绘）。
• 又在地基蓝图里藏一个警报（防裁剪）。

这样，无论坏人是用“重绘”还是“裁剪”来破坏图片，总有一种警报能响起来。但这需要高超的技术，因为要把这两个信号完美融合，不能互相干扰（就像不能把两个不同频率的无线电波混在一起导致信号乱码）。

总结

这篇论文告诉我们：

1. 现在的 AI 水印很脆弱，单一技术防不住所有攻击。
2. AI 重绘是“贴砖块”水印的克星。
3. 图片裁剪是“地基蓝图”水印的克星。
4. 未来的方向是结合两者，打造一种“双保险”的超级水印，才能真正保护数字世界的真实性，防止假新闻和伪造证据泛滥。

技术摘要

《生成式 AI 的正交脆弱性：空间与潜在域溯源水印的实证比较基准》技术摘要

1. 研究背景与问题定义 (Problem)

随着开源权重的生成式 AI（Generative AI）迅速普及，合成超写实媒体带来的数字信任危机日益严峻。自动化的虚假信息、法律证据中的 AI 生成图像以及非自愿的合成媒体已成为系统性的现实漏洞。为了应对这一挑战，业界开始部署隐形水印（Invisible Watermarks）以嵌入可验证的起源证明。

然而，当前的数字溯源技术存在一个关键的实证缺口：

• 现有评估局限：主流的水印模型（如 RivaGAN 和 Tree-Ring）通常仅在孤立的经典失真（如简单的亮度调整或裁剪）下进行评估。
• 现实威胁缺失：现实中的攻击者利用现代生成式 AI 编辑工具（如 Img2Img 翻译、语义修复）来系统性地改变图像数学结构，同时保留视觉语义。
• 核心问题：目前缺乏针对现代生成式编辑工具与经典几何攻击的严格、对比性基准测试，导致无法确定单一域（空间域或潜在域）水印在面对复杂对抗性工具集时的真实鲁棒性。

2. 研究方法与设计 (Methodology)

本研究构建了一个自动化的攻击模拟引擎（Attack Simulation Engine），对两种领先的代表性范式进行了大规模实证评估：

• **空间域水印 **(Spatial)：RivaGAN。在图像生成后，将高频二进制载荷直接嵌入可见像素中。
• **潜在域水印 **(Latent)：Tree-Ring。在图像生成前，将连续加密签名嵌入到扩散模型初始噪声的傅里叶频率（潜在蓝图）中。

实验设置

• 数据集：基于 DiffusionDB 生成 4,000 张图像（2,000 张原生嵌入 Tree-Ring，2,000 张后处理嵌入 RivaGAN），基础模型为 Stable Diffusion v1.5。
• 攻击类型（30 个强度区间）：
  1. Img2Img 翻译：通过 Stable Diffusion 重采样重写全局像素结构（噪声强度 0.01-0.95）。
  2. **语义修复 **(Inpainting)：使用生成式修复管线替换局部区域（5%-60% 面积）。
  3. **几何裁剪 **(Cropping)：中心裁剪外部边界，破坏空间网格对齐（5%-90% 面积）。
  4. 亮度调整：标准像素强度缩放。
• **评估框架：对抗逃逸区 **(Adversarial Evasion Region, AER)
  • 成功逃逸定义：攻击将溯源分数降至临界逃逸阈值（CET < 0.20）**且**同时保持高视觉效用（OpenCLIP 语义相似度 > 70.0）。
  • 度量指标：Tree-Ring 使用均方误差（MSE）评估种子恢复；RivaGAN 使用二进制载荷的字节准确率；视觉保真度使用 OpenCLIP 余弦相似度。

3. 关键贡献 (Key Contributions)

1. 发现正交脆弱性 (Orthogonal Vulnerabilities)：首次通过大规模实证证明，空间域和潜在域水印的失效模式在数学上是互斥且正交的。一种域能抵抗的攻击，往往是另一种域的致命弱点。
2. 建立 AER 框架：提出了一种量化标准，不仅衡量水印是否被破坏，还衡量攻击是否在保留图像语义的前提下成功“洗白”了水印，更贴近现实对抗场景。
3. 揭示单一域水印的系统性缺陷：证明了仅依赖单一数学流形（无论是像素级还是频率级）的水印方案在面对现代生成式 AI 工具集时是根本不足的。

4. 主要研究结果 (Results)

实验数据揭示了两种范式截然不同的失败模式：

攻击类型	RivaGAN (空间域) 逃逸率	Tree-Ring (潜在域) 逃逸率	分析
Img2Img 翻译	67.47% (极高)	17.73% (低)	生成式模型将空间水印视为图像噪点进行“去噪”覆盖，但保留了潜在域的频率蓝图。
**语义修复 **(Inpainting)	66.80% (极高)	10.27% (极低)	局部像素重写破坏了空间分布，但未撼动全局傅里叶结构。
**几何裁剪 **(Cropping)	22.67% (中等)	43.20% (高)	裁剪导致图像网格偏移，破坏了依赖全局 2D 网格对齐的 FFT 提取过程。
亮度调整	22.00%	0.00%	潜在域对非几何/非生成式的全局强度变化具有极强鲁棒性。

• 空间域脆弱性：对算法生成的像素重写（Img2Img, Inpainting）极度敏感，因为这些攻击本质上充当了低通滤波器，擦除了高频像素水印。
• 潜在域脆弱性：对几何错位（特别是裁剪）极度敏感，因为傅里叶变换依赖于严格的全局几何对齐，边缘裁剪会导致频率环在提取时数学失步。

5. 研究意义与未来展望 (Significance & Future Work)

• 理论意义：本研究打破了“单一水印方案可应对所有攻击”的假设，揭示了当前数字溯源标准中存在的系统性盲点。
• 实践启示：
  • 单一域水印已不足以应对现实世界的对抗性工具链。
  • 未来的安全架构必须转向多域、双层协同防御。
• 未来方向：
  • 双层协同水印：研究如何将像素级载荷智能地嵌入到潜在频率蓝图的“零空间”中，以实现几何攻击和生成式攻击的双重防御。
  • 组合攻击模型：从单向量攻击转向评估复杂的多向量组合攻击（如：先裁剪，再修复，最后 Img2Img 翻译）。
  • 自适应路由算法：解决不同域水印叠加时可能产生的信号干扰问题。

结论：生成式 AI 的水印技术正处于一个转折点，必须从单一域防御转向利用正交脆弱性互补的混合架构，以重建数字内容的信任机制。