LLM-gesteuerte Angriffe brechen semantische Wasserzeichen – neue Schwachstelle

Mit dem rasanten Aufstieg generativer Bildmodelle auf Social‑Media‑Plattformen und in Online‑Copyright‑Verteilungsnetzwerken wird semantisches Wasserzeichen immer stärker in Diffusionsmodelle integriert, um Herkunft und Echtheit von Inhalten zuverlässig nachzuverfolgen und Fälschungen zu verhindern.

Traditionelle Wasserzeichen, die auf Rauschschichten basieren, sind jedoch anfällig für Inversionsangriffe, die die eingebetteten Signale wiederherstellen können. Neuere, inhaltssensible Verfahren verknüpfen das Wasserzeichen mit hochrangigen Bildsemantiken, um lokale Bearbeitungen zu begrenzen, die die globale Kohärenz stören würden. Doch große Sprachmodelle (LLMs) besitzen strukturierte Denkfähigkeiten, die gezielte Erkundungen semantischer Räume ermöglichen. Dadurch lassen sich fein abgestimmte, aber gleichzeitig global kohärente semantische Änderungen erzeugen, die die Bindung zwischen Wasserzeichen und Bildsemantik unterlaufen.

Die Autoren stellen den Coherence‑Preserving Semantic Injection (CSI) Angriff vor, der LLM‑gesteuerte semantische Manipulationen unter Beibehaltung von Embedding‑Ähnlichkeitsbeschränkungen nutzt. Diese Technik bewahrt die visuell‑semantische Konsistenz, verändert jedoch gezielt die wasserzeichenrelevanten Semantiken und führt so zu Fehlklassifikationen der Detektoren. Umfangreiche Experimente zeigen, dass CSI bestehende Angriffsbaselines deutlich übertrifft und damit eine fundamentale Sicherheitslücke in aktuellen semantischen Wasserzeichen‑Designs aufzeigt, wenn sie LLM‑gesteuerten semantischen Störungen ausgesetzt sind.