Watermark SynthID do Google foi quebrado com 200 imagens e processamento de sinais

Um desenvolvedor chamado Aloshdenny conseguiu fazer engenharia reversa do sistema de watermarking SynthID do Google usando apenas 200 imagens geradas pelo Gemini e técnicas de processamento de sinais. Gerando imagens totalmente pretas e calculando a média de seus padrões de ruído, Aloshdenny isolou a assinatura do watermark no domínio da frequência e desenvolveu um método de remoção que alcança queda de coerência de fase de 91,4% com perda mínima de qualidade da imagem. O ataque explora uma falha fundamental: SynthID usa um padrão consistente em todas as imagens do mesmo modelo, tornando-o estatisticamente observável quando você tem amostras suficientes.

Isso não é apenas sobre um watermark sendo quebrado — expõe a tensão inerente entre watermarking sistemático e segurança. SynthID parecia inteligente porque incorpora watermarks durante a geração em vez de carimbá-los depois. Mas essa consistência se tornou sua fraqueza. A pesquisa revela que watermarks invisíveis enfrentam as mesmas compensações que os visíveis: ou são robustos o suficiente para serem detectáveis, ou são sutis o suficiente para serem removíveis. Google contesta a eficácia da quebra, mas o código open-source e a metodologia documentada sugerem o contrário.

As implicações mais amplas vão mais fundo que a implementação do Google. Múltiplas fontes confirmam que este ataque funciona através de análise espectral do domínio da frequência, onde SynthID coloca frequências portadoras em posições dependentes da resolução. Em 1024×1024, portadoras aparecem em frequências baixas como (9,9); em resoluções maiores, elas se deslocam adequadamente. O template de fase permanece idêntico em todas as imagens do Gemini com coerência inter-imagem de 99,5%, tornando a extração de padrões direta uma vez que você sabe o que procurar.

Para desenvolvedores construindo sistemas de detecção de IA, isso deveria ser um alerta. Watermarks comportamentais que dependem de padrões consistentes são vulneráveis a ataques estatísticos. A questão real não é se watermarks podem ser removidos — é se estamos construindo sistemas de detecção que podem evoluir mais rápido que as técnicas de remoção.