Gemini के SynthID watermark को reverse engineer करके detect और remove करने वाला open source

 (github.com/aloshdenny)
3 पॉइंट द्वारा GN⁺ 2026-04-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google के SynthID encoder/decoder तक पहुंच के बिना, सिर्फ signal processing और spectrum analysis से Gemini images के invisible watermark structure को reconstruct किया गया
  • मुख्य खोज: SynthID हर resolution पर अलग frequency positions में carrier insert करता है, और एक ही model से बनी images के बीच phase template consistency 99.5% से अधिक है — यानी लगभग fixed pattern
  • मौजूदा JPEG compression और noise injection तरीके quality loss ज़्यादा करते हैं, लेकिन V3 multi-resolution spectrum codebook subtraction तरीके से PSNR 43dB से अधिक बनाए रखते हुए 91% phase consistency reduction हासिल की गई
  • resolution-wise profiles को codebook में store करके, input image के अनुसार automatic selection → FFT domain subtraction → multi-pass iteration से residual watermark हटाया जाता है
  • Green channel में watermark signal सबसे मजबूत है, और channel-wise weights (G=1.0, R=0.85, B=0.70) लगाकर precise removal किया जाता है
  • detector 90% accuracy के साथ watermark की मौजूदगी और confidence output करता है, और codebook-based multi-scale analysis का उपयोग करता है
  • research और education purpose का project है, AI-generated images को human-made दिखाने के उपयोग की अनुमति नहीं है
  • Python में लिखा गया है, GitHub पर पूरा code public है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-12
Hacker News की राय

  • लाखों pixels वाली image में पता न चलने वाला 1-bit watermark डालना इतना मुश्किल काम नहीं है
    अगर मान लें कि Google काफ़ी सक्षम है, तो वह शायद दो तरह के watermark इस्तेमाल करता होगा — एक बाहर सार्वजनिक किया गया ढीला version, और दूसरा internal use या law enforcement requests के लिए private version
    इसके अलावा, Google शायद बनाई गई सभी images को (या उनके neural hash को) account से जोड़कर database में store करता होगा

    • dual watermark strategy, defensive engineering के नज़रिए से काफ़ी तर्कसंगत है
      यह मानकर चलना कि बाहरी layer eventually टूट जाएगी, और दूसरी ऐसी layer बनाए रखना जिसे publicly test नहीं किया जा सकता, security का बुनियादी सिद्धांत है
      लेकिन models लगातार नए बन रहे हैं और उनमें non-deterministic गुण भी हैं, तो ऐसी स्थिति में user इसे साबित कर पाएगा या नहीं, यह सवाल है

  • यह repo, AI-assisted research कहने लायक भी low quality का है, और Google के SynthID detector से ठीक तरह compare भी नहीं करता
    सच कहें तो सिर्फ LLM की मदद से भी network requests की reverse engineering करके browser या Gemini के बिना SynthID detection implement किया जा सकता है. वही असली ground truth होगा

    • HN पर अक्सर ऐसे comments दिखते हैं कि “यह मुश्किल नहीं है”, लेकिन असल में POC या research links लगभग कभी नहीं होते
      और कई बार लोग source पर हमला करते हैं या “AI ने लिखा है” कहकर खारिज कर देते हैं
      आजकल HN community धीरे-धीरे AI tools की नफ़रत वाली दिशा में जाती लग रही है

  • आज Nano Banana से generate की गई image में मुझे watermark दिखा था, ऐसा लगा
    मैंने Chrome में image को Slack पर copy किया, लेकिन result सिर्फ काले square पर लाल dots जैसा दिखा

    • मेरे साथ भी कुछ ऐसा हुआ था, लेकिन बाद में पता चला कि screenshot पर बनाए गए निशान ही copy हो गए थे
      कहीं ऐसा ही कोई mistake तो नहीं था, यह सोच रहा हूँ

  • पता था कि कोई न कोई आखिरकार ऐसा कुछ बना ही देगा, लेकिन समझ नहीं आता कि AI-generated images को detect करने के तरीक़े को जानबूझकर क्यों हटाना चाहेंगे

    • attackers तो वैसे भी यही काम करेंगे, और security vulnerability disclosure की तरह अच्छे इरादे वाले researchers को भी यह जानना चाहिए
      अगर सिर्फ बुरे लोग ही जानते रहें, तो जोखिम और बढ़ जाता है
    • पहले ऐसे tools वैसे भी सिर्फ कुछ लोगों के पास होते थे, लेकिन अब सबको इस संभावना का पता चल गया है
    • मूल रूप से SynthID एक fuzzy signal है
      आम लोग “watermark नहीं है, तो image असली है” जैसी binary logic को समझ नहीं पाते
      आखिरकार AI watermarking का असफल होना तय है
      और पहले भी manipulated media पर invisible watermark नहीं लगाए जाते थे — यह technology से ज़्यादा philosophy का सवाल है
    • अंत में मक़सद यही है कि fake images को real जैसा दिखाया जाए
    • सच में, यह पहले से ही संभव था
      Stable Diffusion में low denoising strength के साथ चलाने पर watermark लगभग ग़ायब हो जाता है
      इस report में दावा है कि यह उससे कम destructive तरीका देता है, लेकिन README में दिख रहे AI-generated traces की वजह से भरोसा नहीं होता

  • SynthID कुछ images में (ख़ासकर edges या text वाले इलाक़ों में) साफ़ नज़र आता है
    सोच रहा हूँ कि क्या इस report का तरीका उन हिस्सों को ज़्यादा natural बना पाएगा

    • Nano Banana से edit को बार-बार दोहराने पर watermark और ज़्यादा स्पष्ट होकर उभरने जैसा लगता है

  • README देखें तो उसमें Claude के निशान बहुत साफ़ दिखते हैं
    table walls गड़बड़ हैं, और sentence structure भी Claude के typical pattern जैसा है

    • सिर्फ parentheses और commas से items गिनाना, और “and” का इस्तेमाल न करना भी Claude की आम विशेषता है
    • यह पूरी तरह Unicode table disaster है
      ASCII table की नकल करने की कोशिश है, लेकिन characters की width अलग-अलग होने से lines align नहीं होतीं
      यहाँ तक कि off-by-one error भी है
      लगता है 2037 में भी हम अब भी unaligned Unicode tables ही देख रहे होंगे
    • सिर्फ README की सामग्री देखकर भी साफ़ है कि यह Claude ने लिखा है

  • यह repo अपनी watermark removal performance को सिर्फ अपने ही detector से test करता है
    Google के SynthID app से verify ही नहीं करता, इसलिए इसका कोई मतलब नहीं बनता

  • project description में लिखा है कि “AI-generated content को human-made जैसा दिखाकर धोखा मत दो”, लेकिन असल में यह watermark removal CLI tool distribute करता है
    “aggressive”, “maximum” जैसे setting names भी काफ़ी खुल्लमखुल्ला हैं
    README बिना edit किए AI output जैसा लगता है, उसमें content दोहराया गया है और structure भी बिखरा हुआ है

    • V1, V2 सिर्फ table में आते हैं और उनका कोई explanation नहीं है
    • “Detection Rate: 90%” जैसे numbers का कोई आधार नहीं है, और “License: Research” का link तक नहीं है
    • test images सिर्फ 88 हैं, और CI या test suite भी नहीं है
    • code examples में भी import style दो तरह की है, जिनमें से एक error देगी
    • अगर Google SynthID बदल दे, तो यह जानने का कोई तरीका नहीं कि codebook पुराना हो चुका है
      मूल idea (resolution-dependent carrier, images के बीच phase consistency) दिलचस्प है, लेकिन packaging भरोसा तोड़ देती है
    • सहमत. ऐसे tools की misuse potential बहुत ज़्यादा है, और समाज को AI-generated content को साफ़ तौर पर अलग पहचान पाने में सक्षम होना चाहिए

  • image को downscale करके फिर upscale करने से watermark हट जाता है

  • सच में, यह इतना मुश्किल नहीं है
    इस बारे में लेख deepwalker.xyz blog पर है