本文来自微信公众号“GoUpSec”。
随着生成式人工智能技术和工具的迅猛发展和普及,深度伪造内容,尤其是视频伪造的泛滥,已经成了互联网舆论管控和内容安全的头号威胁。今天,“眼见为实”已经彻底失效,而各国人工智能内容监管法规依赖的“传统水印”难以遏制伪造内容的泛滥。
近日康奈尔大学研究团队在SIGGRAPH2025(温哥华)拿出了一件“新武器”——光学水印:把水印藏进光线的微小波动里,用肉眼看不见、但机器能读的“光学噪声”来标记视频真伪。相关论文已发表于6月的ACM Transactions on Graphics(DOI:10.1145/3742892)。
信息不对称,才是反制关键
当下AI造假者的“基本盘”很稳:同样能拿到海量真视频当素材,低成本编辑工具又能从大数据里快速“学会”如何以假乱真。法证技术要翻盘,就得掌握造假者拿不到的“额外信息”——这就是研究团队强调的信息不对称。
传统数字水印确实利用了这种不对称,但常见方案有硬伤:要控制拍摄设备、要拿到原始素材,或者只能告诉你“视频被改过”,却分不清是正常压缩还是恶意篡改。
把水印藏进“光的噪声”
康奈尔这套方法名叫噪声编码照明(Noise-Coded Illumination,NCI)。思路很直白却很巧:通过屏幕或室内灯具在不可察觉的亮度细微抖动中,叠加一段“暗号”。这段暗号不是一张静态图,而是一份低保真、带时间戳的“代码视频”,与真实场景同步但在光照上略有差异。
实现形态:
- 电脑屏幕、会议室灯具:软件级驱动实现亮度编码;
- 通用灯具:附加低成本芯片实现亮度调制;
- 无需特定相机或模型配合,降低部署门槛。
当有人对视频做剪切、变形、变速、合成或深度伪造时,被改动的区域会与这些“代码视频”自相矛盾,法证算法据此定位篡改痕迹。若用AI从零生成假视频,因为缺少真实场景里的“光学暗号”,解出来的“代码视频”只会是一团随机噪声。
不挑机型,不怕压缩,还能户外用
这项工作是在团队此前成果上的一次“去依赖化”升级:早期方案需要特定相机或固定AI模型,NCI则对设备要求更“松”。
团队在多种场景和攻击下做了验证,包括warp剪切、变速/加速度、合成叠加、深度伪造等;同时测试了人物与镜头移动、相机闪光、不同肤色、不同压缩率,以及室内外环境。结果显示方法具备较强鲁棒性,且在低于人眼感知阈值的信号水平也能稳健工作。
更关键的是对抗难度的跃迁:即便攻击者知道使用了NCI,甚至拿到部分“暗号”,想完美造假也得把每一条代码视频都伪造一遍,而且彼此还要完全一致,造假门槛瞬间提升。
落地场景有哪些?
- 媒体与司法:采访录像、法庭证据的“真伪签名”;
- 执法与安防:执法记录仪、车载与楼宇影像的可信存证;
- 平台生态:短视频与直播平台的“硬核防伪底座”,辅助内容审核。
问题与挑战
NCI并非“银弹”。它仍需对部分光源或屏幕有控制权;在强自然光或超大场景下部署,需要工程化取舍。
另一方面,生成式模型在“物理一致性”上的对抗也在演进,水印方案需要持续滚动升级(更新编码策略、增强密钥管理、做跨设备的时空一致性校验)。另外,如何在隐私与可用性之间平衡(比如公共空间默认“带水印”的合规性)也需要制度层面的配套。
总结:
当“眼见不为实”成为常态,把可信标记埋进物理世界的光线里,是一次颇具想象力的反制。NCI的意义不止是发现“被改过”,更在于提供可定位、可解释的证据链。正如研究者Abe Davis所言:这场攻防不会结束,但门槛正在被重新划定。SIGGRAPH的“光学水印”,值得所有与视频可信度博弈的行业继续跟进。
参考链接:
https://dl.acm.org/doi/10.1145/3742892
https://youtu.be/GrC6I21URu4
