infonebpress.

Отделяем факты от медийного шума

Колонку ведёт Денис Архипов

Проверить нейросеть для генерации изображений на водяные знаки

Картинка идеально симметричная. Свет мягкий, без пересветов и жестких теней. В зрачках — отражение окна, которого не существует в реальности.

Денис Архипов, Аналитик данных и фактчекер·Обновлено: 06 июля 2026 г.·7 мин

Проверить нейросеть для генерации изображений на водяные знаки

Архитектура цифровых следов: от метаданных C2PA до стеганографии

Когда мы говорим про следы генерации, важно понимать: их три уровня. И они работают по-разному.

Первый уровень — видимые водяные знаки. Полупрозрачные логотипы в углу, надписи «AI generated», плашки от разработчиков. Самый простой и одновременно самый бесполезный слой. Его удалить — дело пяти минут в любом графическом редакторе, от Paint до Photoshop. Midjourney, DALL-E 3 и ряд других популярных моделей зачастую не размещают такие метки по умолчанию. Поэтому ориентироваться только на видимую маркировку — все равно что проверять возраст по наличию штампа в паспорте, не заглядывая внутрь.

Второй уровень — метаданные C2PA. Это открытый технический стандарт, разработанный Коалицией за подлинность контента (Coalition for Content Provenance and Authenticity). Adobe, Microsoft, Google и десятки других участников рынка встраивают в файл так называемый манифест происхождения — зашифрованный блок, описывающий, когда и каким инструментом создан или отредактирован файл. Проверяется через специальные программы и сервисы: например, в Adobe Content Credentials можно загрузить JPEG и увидеть цепочку правок. Звучит удобно. Проблема в том, что C2PA опирается на метаданные формата EXIF и XMP, которые соцсети, мессенджеры и агрегаторы массово сносят при загрузке. Стоит картинке пройти через Telegram, WhatsApp, VK или Facebook — метаданных может не остаться вовсе.

Третий уровень — стеганографические водяные знаки. Это самое интересное и одновременно самое хрупкое звено. Технология работает не через метаданные, а через пиксели: в изображение на уровне незаметных человеческому глазу искажений вшивается сигнатура модели-генератора. Лидер направления — Google DeepMind с технологией SynthID, запущенной в 2023 году для моделей Imagen. Сигнатура встраивается прямо в изображение и устойчива к обрезке, изменению цветовой гаммы и сжатию. Теоретически. На практике — об этом ниже.

Цифровой след нейросети — это не один инструмент, а матрешка: видимый логотип, метаданные, скрытая сигнатура в пикселях. Чтобы картинка прошла проверку, нечестному автору достаточно взломать любой один слой. Чтобы доказать подлинность — нужно подтверждение во всех трех.

Технология SynthID: почему водяные знаки Google DeepMind сложно удалить

SynthID — попытка решить главную боль: пользователь скачивает сгенерированное изображение, прогоняет его через три фильтра и сохраняет в скриншоте, а потом заявляет, что это «реальное фото». Обычный водяной знак такую операцию не переживет. SynthID — переживает, потому что сигнатура распределена по всему полю изображения. Слегка меняется яркость отдельных участков, микроскопически сдвигаются значения в синем и зеленом каналах — глаз этого не видит, а алгоритм детектора видит.

Метод работает в двух режимах. В простом — сервис проверки показывает «да, это Imagen, мы сами такое и подтверждаем». В расширенном — алгоритм способен восстановить сигнатуру даже из фрагмента картинки, через агрессивное сжатие, изменение размера и цветокоррекцию. То есть даже если злоумышленник сделал скриншот, обрезал 80% кадра, пережал в JPEG с качеством 60% — детектор все равно может определить генератор.

Звучит как серебряная пуля. Не совсем. У SynthID есть фундаментальное ограничение: технология работает только на моделях, где она встроена. Imagen — да. Другие популярные генераторы (тот же Midjourney, ранние версии Stable Diffusion, ряд китайских моделей) на свои картинки SynthID не ставят. Проверять через него «все подряд» — пустая трата времени. Получили отрицательный результат? Это не доказывает ни подлинность, ни фейк. Просто инструмент не покрывает эту конкретную нейросеть для генерации изображений.

SynthID — не волшебный детектор фейков, а пропуск конкретной экосистемы. Если сигнатуры нет — это ничего не значит. Если есть — это приговор спору.

Почему визуальный осмотр и стандарт IPTC больше не являются доказательством

Старый арсенал фактчекера — посмотреть на тени, проверить отражение в зрачках, поискать артефакты на пальцах и в текстуре волос. В 2024 году этот метод окончательно устарел. Современные нейросети для генерации изображений справляются с пальцами и зрачками с приемлемым качеством. Дефекты по-прежнему возникают, но становятся настолько редкими, что ловить их невооруженным глазом — это лотерея. Можно месяцами смотреть на выдуманные фотографии и каждый раз говорить «не похоже на фейк», а на тысячном снимке пропустить очевидный косяк.

Вторая иллюзия — стандарт IPTC. Это блок метаданных, в который фотографы вписывают имя, модель камеры, параметры съемки, авторские права и копирайт. Раньше одного взгляда на IPTC хватало, чтобы понять: фото из архива Reuters, владелец — агентство, заявленная дата — 12 марта. Сейчас этот блок компрометирован двумя путями. Во-первых, его научились подделывать. Любой редактор метаданных позволяет вбить туда все что угодно — хоть копирайт NASA, хоть данные камеры Hasselblad X2D за 300 тысяч рублей. Во-вторых, его массово сносят платформы: Instagram, Facebook, X (бывший Twitter), WhatsApp и Telegram чистят EXIF и IPTC при загрузке. Если вы видите «фото с места событий» без единого метатега — это либо добросовестный пользователь, который не понимает техническую механику, либо осознанная подделка, прошедшая через сжимающий фильтр соцсети. В обоих случаях опираться на IPTC как доказательство нельзя.

Подделать IPTC проще, чем проверить. Подделать SynthID — почти невозможно. Подделать композицию кадра — пожалуйста, нейросеть сделает это за секунду.

Уязвимости верификации: как редакторы и сжатие стирают маркеры ИИ

Самая болезненная часть работы фактчекера — момент, когда вы точно знаете, что изображение сгенерировано, но не можете это доказать технически. Такие случаи становятся нормой. И вот почему.

Снять метаданные C2PA — вопрос двух кликов. Онлайн-сервисы вроде Squoosh, EXIF Purifier, банальные настройки конфиденциальности в Lightroom. Любой пользователь способен убрать цифровой паспорт файла за тридцать секунд. Никакого навыка не нужно — это уровень школьника, освоившего Paint.

Удалить стеганографическую сигнатуру — задача посложнее, но тоже решаемая. Атакующий может применить агрессивное размытие, многократное пересохранение в JPEG, цветовой сдвиг через кривые, шумоподавление нейросетью и повторное повышение резкости. Каждое из этих преобразований модифицирует пиксели и потенциально «вымывает» вшитую сигнатуру. Точные данные по устойчивости SynthID к полному циклу обработки — статистика, которую публично не озвучивают. Широко известно лишь то, что 100% гарантии у любой современной системы нет: либо сигнатуру обнаруживают, либо она утрачена, либо алгоритм возвращает неуверенный результат.

Наконец, скриншот. Просто Print Screen на мониторе, вставка в Paint, сохранение — картинка, формально зафиксированная вашим экраном. Никаких метаданных. Скорее всего, никакой синтезированной сигнатуры. С точки зрения детектора — обычное растровое изображение без следов. А с точки зрения распространителя — «доказательство того, что происходило на самом деле».

Любая метка защиты проигрывает скриншоту. Это главный технический парадокс эпохи нейросетей: идеальная копия с экрана неотличима от фейка, потому что у нее нет истории.

Пределы автоматизации: почему детекторы контента часто ошибаются

Стоит отдельно сказать про бум онлайн-детекторов. В 2023–2024 годах появились десятки сервисов, обещающих «загрузите картинку — мы определим, фейк или нет». Часть из них использует реальные алгоритмы на основе сверточных сетей. Часть — маркетинговый плацебо. Отличить одно от другого пользователю почти невозможно.

Главная проблема — ложноположительные и ложноотрицательные результаты. Ложноположительный — когда настоящее фото реального фотографа определяется как сгенерированное. Ложноотрицательный — когда настоящий фейк проходит как подлинный снимок. Оба исхода критичны для фактчекера. В первом случае мы оскорбляем реального автора, обвиняя его в подделке. Во втором — пропускаем манипуляцию.

Ни один открытый детектор не дает гарантированного результата. Более того, в исследовательской среде зафиксировано: точность коммерческих детекторов на «дикой» выборке изображений из интернета не превышает 70–80 процентов в лучших моделях. На отдельных жанрах — ниже. Исследователи из Bellingcat, Google DeepMind и ряда академических лабораторий прямо указывают: публичные детекторы — это вспомогательный инструмент, а не приговор.

Главный прием, к которому стоит привыкнуть, — перенос фокуса. Вместо «откуда снимок» правильнее спрашивать «кто первично опубликовал, какие метаданные при этом остались, кто повторил, и что показывает обратный поиск». Связка методов — метаданные, синтезатор-специфичные детекторы (SynthID), поиск по первоисточнику (Google Lens, TinEye, Yandex Images), репортерская проверка контекста — работает в разы лучше, чем любой одиночный алгоритм.

Автоматический детектор — это не судья, а свидетель с правом голоса. Последнее слово всегда за человеком, который понимает, как устроена экосистема цифрового контента.

Что из этого следует

Возвращаемся к началу. Картинка с виральными тремя миллионами репостов — это не повод доверять, и не повод отвергать. Это повод проверить. Проверяем метаданные через C2PA-валидатор. Ищем сигнатуру SynthID и специфичные маркеры других моделей. Делаем обратный поиск изображения и ищем первоисточник. Изучаем контекст: кто загрузил, с какого аккаунта, какие аккаунты перепубликовали, есть ли геопривязка.

Если ни один из этих слоев не подтвердил «нейросеть для генерации изображений» в свойствах файла и не указал на первоисточник — это не значит, что снимок настоящий. Это значит, что автор либо добросовестный участник интернета, не знающий про метаданные, либо осознанный фейкодел, который прочитал ровно ту же статью, что и вы сейчас, и обошел все известные проверки.

Навык проверки первоисточника — универсален и работает одинаково в любой сфере, где есть риск манипуляции данными: в журналистике, в рекрутинге, в подборе образовательных программ. Когда речь идет о международных сертификатах или, например, об условиях зачисления на программу бакалавриата, действует то же правило: один официальный документ первоисточника всегда весомее десятка скриншотов.

Финальный счет простой. Каждый раз, когда изображение без метаданных, без известной сигнатуры, без привязки к первоисточнику уходит в массы, оно становится инструментом чужих намерений. Не наших — чужих. Единственная защита — привычка проверять механику, а не содержание. Содержание можно подделать. Механику — гораздо сложнее.

Частые вопросы

Можно ли доверять видимым водяным знакам на изображениях?
Нет, видимые знаки являются самым ненадежным уровнем защиты, так как их легко удалить в любом графическом редакторе.
Почему метаданные C2PA часто отсутствуют в файлах?
Большинство популярных соцсетей и мессенджеров автоматически удаляют метаданные EXIF и XMP при загрузке изображений.
Что такое SynthID и можно ли его удалить?
Это технология Google DeepMind, которая вшивает невидимую сигнатуру прямо в пиксели изображения. Ее сложно удалить, но при агрессивной обработке или создании скриншота сигнатура может быть утрачена.
Работает ли SynthID для всех нейросетей?
Нет, эта технология встроена только в конкретные модели, например, в Imagen, и не применима к другим генераторам вроде Midjourney.
Насколько точны онлайн-детекторы нейросетевого контента?
Точность коммерческих детекторов на реальных данных из интернета не превышает 70–80%, поэтому они не дают гарантированного результата.