5月19日,OpenAI 宣布全面采用 Google DeepMind 的 SynthID 水印方案,同时推出自家的内容溯源验证工具。同一天,GitHub 上出现了一个 370+ star 的开源项目「Remove-AI-Watermarks」,专门用来移除 AI 水印。
两件事放在一起看,有意思了。
## SynthID 不是你想的那种水印
先说清楚一点:SynthID 不是那种在图片角落盖个半透明 logo 的东西。它是在像素层面嵌入一个**对人眼不可见、但对 AI 检测器可读**的数字签名。
具体做法分两步:
1. **生成阶段**:在 DALL·E 3 输出图片时,SynthID 直接在像素矩阵中植入一个经过加密的「指纹」。这个指纹不是简单的噪声叠加——它用了差分编码,对 JPEG 压缩、裁剪、缩放都有一定鲁棒性
2. **检测阶段**:DeepMind 训练的检测模型可以扫描图片,输出一个置信度分数,告诉你「这张图有 X% 的概率包含 SynthID 水印」
关键区别在于:传统的元数据水印(EXIF、C2PA 标准)非常脆弱——截个图、转发一下 Telegram 就丢了。而 SynthID 的水印嵌在图片本身的像素结构里,你截图、调色、甚至打印后拍照再上传,它都还可能被检测出来。
当然,不是百分之百。DeepMind 自己承认,经过极端变换(强滤镜、大幅裁剪)后检测率会下降。但相比纯元数据方案,已经是两个时代的东西了。
## OpenAI 的选择说明什么
OpenAI 选择 Google 的水印方案,这件事本身就值得琢磨。
之前 DALL·E 3 用的是 C2PA(Content Credentials)标准——在图片的元数据里嵌入「AI 生成」标记,点击小图标就能看到来源信息。但问题很明显:
> 元数据太容易被剥离了。Twitter/X 压缩图片时会清掉 EXIF,微信直接不传 EXIF,Telegram 默认也不保留。
OpenAI 实际上做了个务实的选择:用 SynthID 做底层像素级水印保底,同时保留 C2PA 元数据做显性溯源。双层方案比单层靠谱得多。
这其实是一个信号——**AI 内容溯源正在从各自为政走向标准化**。C2PA 联盟(Adobe、Microsoft、OpenAI 都在里面)+ SynthID 的技术方案,正在成为事实上的行业标准。
## 同一天的反击:Remove-AI-Watermarks
同一天登上 HN 热榜的,是一个叫 Remove-AI-Watermarks 的开源项目。
作者用了一整套反制手段:
– **盲去噪**:对图片做小幅度随机扰动,破坏水印的确定性嵌入模式
– **重采样攻击**:把图片缩放到非整数比再缩回来,打乱像素级的编码序列
– **GAN 增强**:用生成模型对图片做「美化处理」,在这个过程中无意中抹掉水印
我试着跑了一下,效果确实可以。对纹理丰富的图片(风景、人物、物体),基本能做到移除后肉眼看不出明显画质损失。但对纯色背景、渐变区域的图片,有时会留下伪影。
这个项目的存在说明一个道理:**任何基于像素级的检测方案,本质上都是猫鼠游戏**。检测方提升鲁棒性 -> 攻击方找到新的绕开方式 -> 检测方再升级……这个循环不会有终点。
## 水印到底有没有用
这个问题值得认真聊一下。
有一次我跟一个设计师朋友吃饭,他给我看了一组图——和真人摄影师的作品放在一起,他完全分不清哪些是 AI 生成的。那个瞬间我意识到:肉眼鉴别这件事,对于普通人来说已经结束了。
水印的价值不在于「阻止所有人造假」——这是不可能的。它的真正价值在于:
1. **事后追溯**:当一张争议图片需要调查时,检测工具可以给出一个概率性结论
2. **批量检测**:平台方(新闻机构、社交媒体)可以用 API 批量扫描上传图片,标记「疑似 AI 生成」的内容
3. **司法证据**:在法庭上,有水印检测结果和没有,举证成本差几个量级
说白了,水印不是防君子也不是防小人——它是给需要「拿证据说话」的人准备的工具。
## 技术人的实际建议
如果你在开发需要处理图片的产品,这几件事现在就可以做:
– **接入检测 API**:OpenAI 和 Google 都提供了 SynthID 检测的 API 接口,接入成本很低。对 UGC 平台来说,至少应该对热点图片做扫描
– **双层水印策略**:C2PA 元数据 + 像素级水印同时用,不要二选一
– **建立人工抽检流程**:检测工具给的是概率分,不是二元判定。99% 置信度和 51% 置信度需要不同的处理流程
– **关注标准化进展**:C2PA 2.0 规范正在制定,可能会把 SynthID 式的像素水印纳入标准
当然,猫鼠游戏还会继续。Remove-AI-Watermarks 的作者在 README 里写了一句很实在的话:
> “We don’t claim to remove all watermarks perfectly. We just make them sufficiently unreliable for mass-scale verification.”
翻译一下:我们不保证能完美移除所有水印,我们只是让它在「大规模验证」这个场景下变得不可靠。
而这恰恰说明水印本身的价值——它把博弈的门槛从「肉眼分辨」提高到了「需要专门的工程手段来对抗」。这个门槛已经足够过滤掉 99% 的随意滥用了。
## 结尾
2026 年 5 月这一周,AI 水印领域发生的事可以总结为两句话:
技术方在建立信任基础设施。反制方在做压力测试。
两边都是必要的。没有水印,互联网会淹没在无法溯源的内容中。没有反制,水印技术也不会迭代升级。
这场猫鼠游戏,其实是整个 AI 行业走向成熟必经的成人礼。