Removing Watermarks with Partial Regeneration using Semantic Information

📄 arXiv: 2505.08234v1 📥 PDF

作者: Krti Tallam, John Kevin Cava, Caleb Geniesse, N. Benjamin Erichson, Michael W. Mahoney

分类: cs.CV, cs.AI, cs.CR

发布日期: 2025-05-13

💡 一句话要点

提出SemanticRegen,一种利用语义信息的图像水印去除方法,有效攻击现有语义水印方案。

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: 图像水印 水印攻击 语义理解 扩散模型 图像修复

📋 核心要点

  1. 现有语义水印方案在面对自适应攻击时鲁棒性不足,容易被攻击者在保持图像语义的同时擦除水印。
  2. SemanticRegen利用视觉-语言模型和扩散模型,通过语义理解和前景保留的背景修复策略,实现有效的水印去除。
  3. 实验表明,SemanticRegen能够成功攻击多种水印方案,并在前景区域保持更高的图像保真度,优于现有攻击方法。

📝 摘要(中文)

随着AI生成图像的普及,不可见水印已成为版权和溯源的主要防御手段。最新的水印方案嵌入了语义信号,即能够抵抗常见图像操作的内容感知模式。然而,它们对于自适应攻击的真正鲁棒性仍未得到充分研究。本文揭示了一个先前未被报道的漏洞,并提出了SemanticRegen,一种三阶段、无标签的攻击方法,可以在不破坏图像表观语义的情况下擦除最先进的语义和不可见水印。该流程首先使用视觉-语言模型获取细粒度的文本描述,然后利用零样本分割提取前景掩码,最后通过LLM引导的扩散模型仅对背景进行修复,从而保留显著对象和风格线索。在针对TreeRing、StegaStamp、StableSig和DWT/DCT四个水印系统的1000个提示词的评估中,SemanticRegen是唯一能够击败语义TreeRing水印的方法(p = 0.10 > 0.05),并将剩余方案的比特准确率降低到0.75以下,同时保持了较高的感知质量(masked SSIM = 0.94 +/- 0.01)。此外,本文还引入了masked SSIM (mSSIM)来量化前景区域内的保真度,表明该攻击实现了比先前的基于扩散的攻击者高出12%的mSSIM。这些结果突显了当前水印防御与自适应、语义感知攻击能力之间的紧迫差距,强调了水印算法需要对内容保持型再生攻击具有弹性。

🔬 方法详解

问题定义:论文旨在解决现有语义水印方案容易受到自适应攻击的问题。现有的水印方案虽然能够抵抗一些常见的图像处理操作,但在面对能够理解图像语义并进行针对性修改的攻击时,其鲁棒性明显不足。攻击者可以在保持图像内容和风格不变的情况下,有效地去除水印,从而绕过版权保护机制。

核心思路:论文的核心思路是利用视觉-语言模型理解图像的语义信息,并结合扩散模型进行图像修复,从而在去除水印的同时,尽可能地保留图像的内容和风格。具体来说,该方法首先识别图像中的前景对象,然后仅对背景区域进行修复,从而避免对重要内容造成破坏。

技术框架:SemanticRegen包含三个主要阶段:(1) 语义理解:使用视觉-语言模型(如CLIP)获取图像的细粒度文本描述,从而理解图像的语义内容。(2) 前景分割:利用零样本分割技术(如Grounding DINO)提取图像的前景掩码,从而确定需要保留的对象区域。(3) 背景修复:使用LLM引导的扩散模型(如Stable Diffusion)仅对背景区域进行修复,从而去除水印,同时保持前景对象和整体风格。

关键创新:该方法最重要的创新点在于其自适应性和语义感知能力。与传统的图像处理方法不同,SemanticRegen能够理解图像的内容,并根据语义信息进行针对性的修改。此外,该方法还引入了masked SSIM (mSSIM)作为评估指标,用于更准确地衡量前景区域的图像保真度。

关键设计:在背景修复阶段,论文使用了LLM引导的扩散模型,通过文本提示来控制修复过程,从而确保修复后的背景与原始图像的风格一致。此外,论文还对扩散模型的参数进行了微调,以提高修复效果。在前景分割阶段,论文使用了零样本分割技术,避免了对特定数据集的依赖,从而提高了方法的泛化能力。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

SemanticRegen成功击败了语义TreeRing水印(p=0.10>0.05),并将其他水印方案的比特准确率降低到0.75以下。同时,该方法在前景区域保持了较高的图像保真度,mSSIM比现有基于扩散的攻击方法高出12%。实验结果表明,现有水印方案在面对语义感知的自适应攻击时存在明显的安全漏洞。

🎯 应用场景

该研究成果可应用于评估和改进现有水印方案的安全性,促进更鲁棒的水印算法设计。同时,该技术也可能被用于恶意目的,例如去除盗版图像中的水印。因此,需要加强对水印技术的监管和保护,防止其被滥用。

📄 摘要(原文)

As AI-generated imagery becomes ubiquitous, invisible watermarks have emerged as a primary line of defense for copyright and provenance. The newest watermarking schemes embed semantic signals - content-aware patterns that are designed to survive common image manipulations - yet their true robustness against adaptive adversaries remains under-explored. We expose a previously unreported vulnerability and introduce SemanticRegen, a three-stage, label-free attack that erases state-of-the-art semantic and invisible watermarks while leaving an image's apparent meaning intact. Our pipeline (i) uses a vision-language model to obtain fine-grained captions, (ii) extracts foreground masks with zero-shot segmentation, and (iii) inpaints only the background via an LLM-guided diffusion model, thereby preserving salient objects and style cues. Evaluated on 1,000 prompts across four watermarking systems - TreeRing, StegaStamp, StableSig, and DWT/DCT - SemanticRegen is the only method to defeat the semantic TreeRing watermark (p = 0.10 > 0.05) and reduces bit-accuracy below 0.75 for the remaining schemes, all while maintaining high perceptual quality (masked SSIM = 0.94 +/- 0.01). We further introduce masked SSIM (mSSIM) to quantify fidelity within foreground regions, showing that our attack achieves up to 12 percent higher mSSIM than prior diffusion-based attackers. These results highlight an urgent gap between current watermark defenses and the capabilities of adaptive, semantics-aware adversaries, underscoring the need for watermarking algorithms that are resilient to content-preserving regenerative attacks.