Matrix 首页推荐
Matrix 是少数派的写作社区,我们主张分享真实的产品体验,有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章,展示来自用户的最真实的体验和观点。
文章代表作者个人观点,少数派仅对标题和排版略作修改。
阅前提示:本文所有文字内容均由本人写作,但部分图片内容为 AI 生成,每张图片均在图片标注中注释了明显的 AI 生成提示(包括生成图片的模型及版本号)。
上图是一张 AI 生成的图片,如果不是因为颇显离奇的出镜人物,即便你定睛细看、甚至放大数倍观察文字和毛发边缘,也极难看出这是 AI 生成的图片。你可能会认为这是《生活大爆炸》的整活。1
「罪魁祸首」之一便是 OpenAI 在今年 4 月发布的 ChatGPT Images 2.0,这款模型首次将 Agentic 推理能力引入了图像生成模型中,借此它能够生成更加逼真、复杂的光影效果。更恐怖的是,它几乎彻底攻克了以往 AI 图片生成模型「不会写字」的顽疾,从图像中的招牌、宣传单到包装上的文字,渲染准确率极高。2
「眼见为实」这句人类奉行了数千年的真理,在 2026 年的今天,正式宣告破产。当造假门槛低到就连普通人都只需输入几句提示词,就能制造几乎完美的图片作为证据时,我们的视觉信任体系已然樯倾楫摧。幸运的是技术引发的危机,依然可以凭借技术来解决:就在 ChatGPT Images 2.0 发布一个月后的 5 月 20 日,OpenAI 又公开了一项重大举措:全面引入 C2PA 开放标准和来自 Google DeepMind 的 SynthID 隐形水印技术。
C2PA:AI 生成图片的「数字身份证」

要让别人知道一张图是 AI 生成的,最直观的方法是什么?给图片贴个标签。这是 C2PA(Coalition for Content Provenance and Authenticity,内容来源与真实性联盟)3正在做的事。
你可能会有些疑问:图片 EXIF 信息的修改不是很容易就能做到吗,为什么还要单独搞一个联盟?代码工程师们确实可以偷懒只写一写 EXIF 信息,然后把代码交上去给大老板们看,但 C2PA 的技术背景要复杂的多。
PKI(公钥基础设施)与数字签名
C2PA 的底层架构,依赖的是网安从业人员非常熟悉的 PKI(公钥基础设施)。当 AI 模型生成完成一张图像后,AI 厂商的服务器会自动用私钥对图片进行数字签名,这就相当于给了图片一个独一无二4的「数字身份证」。当你拿到这张图,可以使用厂商公开的公钥去验证签名,确认这张图片是否是这个厂商的 AI 模型生成的。
链式记录
C2PA 还有一个能够把信息记录得非常详尽的设计:链式记录。如果你在一张图片的处理过程中使用了多个支持 C2PA 的硬件/软件,它们的所有信息都会一条不落、按照顺序被记录下来。
举个例子:假设你有一张带有 C2PA 签名的由 ChatGPT Images 2.0 生成的图像,你把它放进 Photoshop 里又裁剪了一下,Photoshop 此时不会覆盖掉 OpenAI 的原始签名,而是会增加一条来自 Adobe 的新签名,并将其与 OpenAI 的原始签名链接在一起,形成一条由各厂商数字签名组成的、不可篡改的「链条」。任何人查看这张图时,都能清晰地看到它的一生:出生地是 OpenAI ChatGPT Images 2.0、在 Adobe Photoshop 长大,每一个部分都有对应厂商的数字签名,一旦有人试图用某些手段强行抹除或修改其中任何一个部分,整个数据链条就会断裂,也能非常轻易地被验证工具检测出来。
没有绝对安全的系统
和全世界所有的数字系统一样,C2PA 同样存在弱点——它附加在文件的元数据层而非像素层,所以当你在微信、QQ、微博等社交软件上发送了一张图片,平台为了节省带宽,可能会直接暴力的去除掉所有元数据和 EXIF 信息,包括 C2PA 信息。
所以一旦脱离了原始文件,C2PA 的「数字身份证」作用就彻底失效了——甚至我们只需要像这样截个图,就可以规避掉所有的 C2PA 验证。

为了对付这种脱壳行为,AI 厂商必须祭出另外一个更加隐蔽、安全性也更高的技术。
SynthID 隐形水印:「把字刻在石头上」
罗辑指着那些石碑说,「我们试过所有的存储方式,光盘、硬盘、闪存、量子存储……最长的保质期也不过几百年。最后我们发现,能保存一亿年以上的,只有这个。」他拍了拍身边的石碑,「最原始的方法,反而最持久。」
「鲁棒性隐写术」
从古希腊利用头皮刺青和涂蜡木板隐藏密信,到世界大战中利用柠檬汁隐形「墨水」与微缩胶片传递军情,再到现代利用离散余弦变换在数字图像中隐藏信息,人类的隐写术始终在与检测技术进行着跨越数千年的猫鼠游戏。
在数字时代,传统的隐写术通常是修改图像像素的最低有效位(Least Significant Bit,LSB)。比如将一个像素的 RGB 值从(0,0,0)微调成(1,1,1),人眼分辨不出来,但计算机可以。
但问题就在于这种「传统隐写术」相当脆弱,只要图片被稍微有损压缩一下或者加一点噪点,图片里隐藏的信息就全毁了。针对 AI 生成的图像,我们更需要鲁棒性隐写术,即水印必须在经历有损压缩、截图、裁剪、甚至加上滤镜和高斯模糊后,依然能被准确读取。
SynthID 隐形水印的技术原理
SynthID 不只是简单粗暴地修改像素颜色,它深入到了图像的频域中。
如果你熟悉音频处理机制,就会知道傅里叶变换可以将声音分解为不同频率的波形(是的,让理工科学子头疼的傅里叶还在追我……),图像也是如此。通过数学变换(例如离散余弦变换),图像可以被分解为低频信息(大致的轮廓和色块)和高频信息(边缘、纹理和噪点),不太懂的网友可以看看下面两张图片。


SynthID 的算法会在图像生成的极早期阶段,悄悄地在图像的某个特定高频频段中,注入一种人眼看不到的微观噪声。就像是在一首歌里加入一些「超声波」,你完全听不到,但是仪器能检测到。
对抗性训练机制
SynthID 最精妙的设计在于它经受过对抗性训练。在训练 SynthID 的信息注入模型时,Google DeepMind 的工程师设计了一个和注入模型作用完全相反的模型,注入模型加水印,它就绞尽脑汁的尝试破坏水印:压缩到包浆、加满噪点、甚至用其他 AI 绘图模型来「净化」它。在这样的对抗中,注入模型必须不断调整自己的水印嵌入策略,直到无论这个「反注入模型」怎么折腾水印仍然能被识别,才能造就 SynthID 无与伦比的「健壮性」。
现状:矛与盾的对抗
都看到这了,还记得本文第一章第三节的标题是什么吗?
没有绝对安全的系统。
厂商给 AI 生成的图片打上的「钢印」有没有被攻破的时候呢?当然有,在网络安全领域,任何宣称「绝无破解之法」的系统,最终都会被证明是傲慢的。这也要引入这段话的后半句话了:没有绝对安全的系统,只有不断升级的博弈。
弱小和无知不是生存的障碍,傲慢才是。
比如今年 4 月,一位来自 GitHub 的开发者@Aloshdenny 声称仅凭 200 余张由 Gemini 生成的图像,就能够扰乱 SynthID 注入的水印,「让解码器产生混乱、令其放弃读取」,而 Google DeepMind 也立刻采取了一项极具威力的反制措施:动态改变水印嵌入的频域,使任何算法都无法实现 SynthID 水印的直接去除。
你可以参考的验证手段
OpenAI 在引入 C2PA 和 SynthID 隐形水印技术的同时,也上线了一个验证器,即便肉眼无法辨认,验证器也可以帮我们「辨忠奸」。

而如果你是创作者,想要证明自己的作品不是 AI 生成的,也可以参考以下路径:
开启 Content Credentials 功能
如果你使用的是 Adobe 的软件,可以在导出作品时,开启 Content Credentials 功能,它会为你导出的文件打上你的数字签名。

某些厂商用户的「福利」
部分 Leica、Sony 等厂商的新款相机已经在硬件底层集成了 C2PA 签名芯片,它会给用这些相机拍摄的每一张图片打上 C2PA 数字签名,向别人证明:「这张图片里的每一束太阳光,都是在现实世界里奔跑了 8 分 20 秒,最终到达了这台相机的 CMOS 上,并被保存成数字形态,供你们观看。」
小结
从石刻雕塑到活字印刷,从胶片相机到数码微单,人类记录信息的方式一直在变化,但我们对「真实性」的需求从未改变。
回望互联网的发展史,早期的 HTTP 协议同样充斥着各种明文裸奔与中间人攻击,直到 HTTPS 和 SSL 证书普及,那个代表安全的「小锁头」才成为了我们习以为常的东西。今天的 C2PA 和 SynthID 等反制技术,也正处于属于它们自己的「HTTP 时期」。也许在五年或十年后,我们可以不再需要刻意去寻找或使用什么验证工具,操作系统和浏览器会在底层静默完成一切校验。一张没有「数字钢印」的图片,会像今天没有使用 HTTPS 协议的网页一样,被系统自动拦截并打上「您的链接不是私密连接」的红色警告。
> 关注 少数派小红书,感受精彩数字生活 🍃
> 实用、好用的 正版软件,少数派为你呈现 🚀

