Entry tags:
watermarks
"Can Simple Averaging Defeat Modern Watermarks?"
https://neurips.cc/virtual/2024/poster/94798
Человек нашел,что "водяные знаки" в картинках легко выцепляются усреднением большого количества картинок, и потом вырезаются вычитанием этого среднего. Говорит, что еще они очень чувствительны к позиции, даже тупо отрезав с одной тстороны один-два пикселя, многие водяные знаки перестают распознаваться.
С другой стороны, Мета там выступала (ссылку я похоже не сохранил) со своими водяными знаками, которые должны быть устойчивы ко многим преобразованиям.
"Watermarking Makes Language Models Radioactive"
https://neurips.cc/virtual/2024/poster/93506
С третьей стороны, народ изучает и скрытые пометки в тексте LLMов. И пришли к выводу, что если результаты одних LLMов используются в тренировке других, то пометки первых ЛЛМов вылезут и во вторых. В-общем, с расширением количества в интернетах текстов, сгенерированных ЛЛМами, скоро все их пометки будут везде.
https://neurips.cc/virtual/2024/poster/94798
Человек нашел,что "водяные знаки" в картинках легко выцепляются усреднением большого количества картинок, и потом вырезаются вычитанием этого среднего. Говорит, что еще они очень чувствительны к позиции, даже тупо отрезав с одной тстороны один-два пикселя, многие водяные знаки перестают распознаваться.
С другой стороны, Мета там выступала (ссылку я похоже не сохранил) со своими водяными знаками, которые должны быть устойчивы ко многим преобразованиям.
"Watermarking Makes Language Models Radioactive"
https://neurips.cc/virtual/2024/poster/93506
С третьей стороны, народ изучает и скрытые пометки в тексте LLMов. И пришли к выводу, что если результаты одних LLMов используются в тренировке других, то пометки первых ЛЛМов вылезут и во вторых. В-общем, с расширением количества в интернетах текстов, сгенерированных ЛЛМами, скоро все их пометки будут везде.
no subject
Проверять на наличие одного из N возможных знаков. Так же как приёмник GPS одновременно принимает и декодирует сигналы нескольких спутников. Число N не обязано быть большим.
В картинках много избыточности, стеганографию прячут в младшие биты и размазывают по площади. На пустом кадре водяной знак может быть видно, особенно если поиграть с уровнями.
no subject
Для совсем пустой картинки решением может быть ограничивать яркость знака каким-то процентом от перепадов яркости в картинке, тогда пустая картинка просто не пометится (но ее и метить незачем, в ней нет ничего ценного!). Сложнее с картинками с одной тонкой яркой полосой.
Для небольшого числа N можно пытаться для целей взлома групировать тестовые картинки в разных подмножествах и смотреть, что вылазит. Ну и опять же, для целей проверки знаков оно не решает проблемы, что делать с обрезанием (cropping) картинки, которое сдвинет знак.
no subject
Чтобы заметно увеличить соотношение сигнал/шум (в данном случае водяной знак/исходная картинка), надо усреднить много изображений. Комбинаторика намекает, что количество возможных группировок растёт очень быстро, перебор в лоб вряд ли поможет.
no subject
Кстати, водяные знаки - это по своей сути и есть стеганография, устойчивая к трансформациям.