生成式AI輕易繞過影像保護 研究示警數位資產恐陷風險

商傳媒｜何映辰／台北報導

根據一份由弗吉尼亞理工學院暨州立大學（Virginia Tech）主導的最新研究，目前藝術家與創作者普遍採用的數位影像保護機制，已能被現成的生成式人工智慧（AI）模型輕易破解。這項發現對依賴這些保護措施的數位資產擁有者，敲響了警鐘。

自2023年以來，許多藝術家和攝影師在將作品上傳網路前，會透過 Glaze 和 PhotoGuard 等工具，為影像添加一層肉眼不可見的保護層。這層干擾旨在讓AI模型在嘗試學習或編輯影像時，因雜訊過大而無法順利作業，特別是用來防止風格模仿或惡意深度偽造（deepfake）。早期研究曾指出，這些防禦措施在對抗AI風格模仿上，保護率可達92%以上，給予創作者一定的安全感。

然而，由弗吉尼亞理工學院暨州立大學電腦科學副教授比瑪爾·維斯瓦納斯（Dr. Bimal Viswanath）領導的資安團隊，測試了這些保護措施在面對主流AI工具時的有效性。研究結果顯示，攻擊者無需客製化程式、伺服器資源或對保護工具的深入了解，只需使用免費且市面上現成的生成式AI模型（如 Stable Diffusion 3），加上一條簡短的文字指令「消除雜訊」（Denoise the image），就能移除保護層。

這項研究測試了八張受保護的影像，對比六種不同的保護方案，包括防範AI學習、嵌入雜訊於處理層，以及為抵禦進一步編輯而設計的強固系統。結果顯示，在所有測試中，影像的保護訊號都被成功移除，而原始影像對攻擊者而言仍可被有效利用。比瑪爾·維斯瓦納斯教授指出：「這尤其令人擔憂，因為目前的資安方法可能給予使用者一種錯誤的安全感。」

有別於過去需針對特定防禦機制客製化的攻擊手法，此次研究發現的簡單「消除雜訊」攻擊，在四項直接比較中均優於先前專業設計的攻擊方法。這項研究成果已發表於 IEEE Conference on Secure and Trustworthy Machine Learning。研究團隊警告，任何擁有筆記型電腦並能取得免費AI模型的個人，都有能力執行此類攻擊。隨著生成式AI影像模型持續改進，未來的防禦工作恐將更加艱鉅。因此，研究團隊呼籲，未來的任何保護方案都必須在面對現成AI模型時進行基準測試，方能獲得信任。