Peneliti menunjukkan betapa mudahnya mengatasi watermark AI – Ars Technica

Suhail Faizi menilai dirinya adalah sosok yang optimis. Namun profesor ilmu komputer Universitas Maryland berterus terang ketika dia menyimpulkan kondisi watermarking gambar AI saat ini. “Kami tidak memiliki tanda air yang dapat diandalkan saat ini,” katanya. “Kami menghancurkan semuanya.”

Adapun salah satu dari dua jenis tanda air bertenaga AI yang dia uji untuk studi baru – tanda air “turbulensi rendah”, yang tidak terlihat dengan mata telanjang – dia lebih lugas: “Tidak ada harapan.”

Veazey dan rekan-rekannya melihat betapa mudahnya aktor jahat menghindari upaya watermarking. (Dia menyebutnya “mencuci” tanda air.) Selain menunjukkan bagaimana penyerang dapat menghapus tanda air, penelitian ini menunjukkan bagaimana tanda air dapat ditambahkan ke gambar yang dibuat oleh manusia, sehingga menghasilkan hasil positif palsu. Makalah ini dirilis secara online minggu ini dan belum ditinjau oleh rekan sejawat; Fizzy telah menjadi tokoh terkemuka dalam studi tentang cara kerja penemuan AI, jadi penelitian ini patut untuk diperhatikan, bahkan pada tahap awal.

Ini adalah penelitian yang tepat waktu. Tanda air telah muncul sebagai salah satu strategi yang menjanjikan untuk mengidentifikasi gambar dan teks yang dihasilkan oleh kecerdasan buatan. Sama seperti tanda air fisik yang dicantumkan pada uang kertas dan prangko untuk membuktikan keasliannya, tanda air digital dimaksudkan untuk melacak asal-usul gambar dan teks secara online, membantu orang mengenali video dan buku palsu yang dibuat oleh bot. Menjelang pemilihan presiden AS tahun 2024, kekhawatiran semakin meningkat mengenai media yang dimanipulasi, dan beberapa orang sudah tertipu. Misalnya saja mantan Presiden AS Donald Trump. pelanggan Video palsu Anderson Cooper di platform sosialnya Truth Social; Suara Cooper direproduksi oleh kecerdasan buatan.

Musim panas ini, OpenAI, Alphabet, Meta, Amazon, dan beberapa pemain besar lainnya di bidang AI Sumpah Mengembangkan teknologi watermarking untuk memerangi misinformasi. Pada akhir Agustus, Google DeepMind Merilis versi beta dari alat watermarking baru SynthID. Harapannya adalah bahwa alat-alat ini akan menandai konten AI saat konten tersebut dibuat, sama seperti tanda air fisik memverifikasi dolar saat konten tersebut dicetak.

Ini adalah strategi yang kuat dan lugas, namun mungkin bukan strategi yang berhasil. Penelitian ini bukan satu-satunya penelitian yang menunjukkan kelemahan utama watermarking. “Sudah menjadi rahasia umum bahwa tanda air rentan terhadap serangan,” kata Hani Farid, profesor di School of Information di University of California, Berkeley.

Agustus lalu, para peneliti di Universitas California, Santa Barbara dan Carnegie Mellon ikut menulis makalah lain yang menguraikan temuan serupa, setelah melakukan serangan eksperimental mereka sendiri. “Semua tanda air yang tidak terlihat rentan.” sedang membaca. Studi yang lebih baru ini melangkah lebih jauh. Meskipun beberapa peneliti telah menyatakan harapan bahwa tanda air yang terlihat (“gangguan ekstrim”) dapat dikembangkan untuk menahan serangan, Vizi dan rekan-rekannya mengatakan bahwa jenis yang menjanjikan ini pun dapat dimanipulasi.

Kelemahan dalam watermarking tidak menyurutkan semangat para raksasa teknologi untuk menawarkannya sebagai solusi, namun orang-orang yang bekerja di bidang deteksi AI merasa prihatin. “Tanda air pada awalnya tampak seperti solusi yang mulia dan menjanjikan, namun penerapannya di dunia nyata gagal sejak awal karena dapat dengan mudah dipalsukan, dihapus, atau diabaikan,” kata Ben Coleman, CEO startup pendeteksi AI, Reality Defender.

“Tanda air tidak efektif,” tambah Pars Juhasz, salah satu pendiri Undetectable, sebuah startup yang didedikasikan untuk membantu orang menghindari detektor AI. “Seluruh industri, seperti industri kami, bermunculan untuk memastikan hal ini tidak efektif.” Menurut Juhasz, perusahaan seperti miliknya sudah mampu memberikan layanan penghapusan watermark secara cepat.

Ada pula yang percaya bahwa tanda air mempunyai peran dalam penemuan AI, selama kita memahami keterbatasannya. “Penting untuk dipahami bahwa tidak ada seorang pun yang menganggap tanda air saja sudah cukup,” kata Freed. “Tetapi menurut saya tanda air yang kuat adalah bagian dari solusinya.” Ia percaya bahwa memperbaiki tanda air dan kemudian menggunakannya dengan teknik lain akan mempersulit pelaku kejahatan untuk membuat tanda air palsu yang meyakinkan.

Beberapa rekan Vizi berpendapat bahwa tanda air juga ada tempatnya. “Apakah ini merupakan pukulan terhadap watermarking sangat bergantung pada asumsi dan harapan yang diberikan pada watermarking sebagai solusi,” kata Yuxin Wen, seorang mahasiswa doktoral di Universitas Maryland yang ikut menulis makalah baru-baru ini yang mengusulkan teknologi watermarking baru. Bagi Wen dan rekan penulisnya, termasuk profesor ilmu komputer Tom Goldstein, penelitian ini mewakili peluang untuk mempertimbangkan kembali harapan yang ditempatkan pada tanda air, bukan alasan untuk menolak penggunaannya sebagai salah satu alat otentikasi di antara banyak alat lainnya.

“Akan selalu ada aktor canggih yang mampu menghindari deteksi,” kata Goldstein. “Tidak apa-apa jika memiliki sistem yang hanya dapat mendeteksi beberapa hal.” Dia melihat watermarking sebagai bentuk pembatasan kerusakan, dan bermanfaat dalam mendeteksi upaya tingkat rendah untuk memalsukan AI, meskipun hal itu tidak dapat mencegah serangan tingkat tinggi.

Penurunan ekspektasi ini mungkin sudah terjadi. Dalam blognya yang mengumumkan SynthID, DeepMind berhati-hati dalam melakukan lindung nilai atas taruhannya, Menunjuk Alat ini “tidak mudah” dan “tidak sempurna”.

Veezy sangat skeptis bahwa tanda air merupakan sumber daya yang bermanfaat bagi perusahaan seperti Google. “Mungkin kita harus terbiasa dengan kenyataan bahwa kita tidak dapat mengidentifikasi gambar yang dihasilkan AI dengan andal,” katanya.

Namun, penelitiannya sedikit lebih optimis dalam kesimpulannya. “Berdasarkan hasil kami, merancang tanda air yang kuat adalah tugas yang sulit namun bukan berarti mustahil,” tulis surat tersebut.

Cerita ini pertama kali muncul di Kabel.com.