C2PA 只有在所有内容都被签名时才有效C2PA only works if everything is signed
欧盟AI法案要求AI生成的内容必须可识别,主要通过水印或数字签名的元数据(如C2PA标准)来实现。C2PA的设计初衷是验证媒体内容的来源,但其核心缺陷在于信任链的完整性。如果整个发布流程中的任何一个环节(如相机、编辑软件、社交媒体平台)没有进行数字签名,整个验证体系就会失效。作者认为,除非整个数字生态系统中的所有内容都被强制签名,否则C2PA根本无法有效防范伪造。
欧盟《人工智能法案》(AI Act)是欧洲全面监管 AI 使用的一次尝试。其中很大一部分是要求 AI 生成的内容必须可识别:要么打上水印,要么使用该法案所称的“数字签名元数据”1。由于所有这些规定将在一个月后生效,我们有必要弄清楚它是否有意义。我最近在《文本 AI 水印将永远轻而易举被移除》(Text AI watermarks will always be trivial to remove)一文中详细探讨了 AI 水印技术。那么数字签名元数据又如何呢?
数字签名元数据最著名的实现是 C2PA Content Credentials,它错误地2声称自己是 AI 法案给出的如何正确进行元数据签名的示例技术。其核心理念是,每一个图像文件都应包含不可伪造的作者元数据。以下是我对此的立场:
有很多内容需要拆解分析。让我们先从图像开始考虑,因为这是最简单的情况。
C2PA 签名的工作原理
当 AI 工具生成一张图像时,该工具应该在该图像的元数据中包含一条“由 ChatGPT 制作”的免责声明。同样,当相机拍摄照片时,相机也应该包含一条“由相机拍摄”的免责声明。C2PA 使用两种策略来保护这些元数据:
出于显而易见的原因3,每个物理相机(或手机)都有自己的私钥。我们如何知道那数以百万计的私钥是受信任的呢?通过像 HTTPS 那样的 PKI:每个相机的私有“证书”(包含其公钥)都由制造商广为人知的私钥进行签名,因此只要你拥有(比如说)Apple 的根公钥4,就可以验证其真实性链。
如果你随后在 Photoshop 中编辑照片会发生什么?Photoshop 将保留相机原有的元数据不作改动,但会在其上叠加一层“也使用了 Photoshop”的元数据,并使用 Adobe 的私钥进行签名(确切地说,是使用与你官方版本的 Photoshop 相关联的私钥进行签名,而该私钥由 Adobe 的官方私钥签名)。
同样,如果你让 ChatGPT 为你生成一张图像,ChatGPT 会使用 OpenAI 的私钥对其“由 ChatGPT 制作”的元数据进行签名。理论上,每一张图像都可以包含不可伪造的 C2PA 元数据,从而让 Twitter 等软件能够轻而易举地区分真假照片。
C2PA 需要更多的监管来推动其普及
目前,C2PA 的普及程度远未达到使其发挥作用所需的水平。很难找到关于实际应用中有多少图像使用 C2PA 的确切数据,但 FotoForensics 报告称每周大约有十二张(因此,在每年处理的 90 万张图像中,大约只有 600 张使用了 C2PA)。实际情况甚至比听起来还要糟,因为基本上所有签名的图像都是 AI 生成的。C2PA 在人类拍摄图像中的普及率要低得多:到目前为止,Google 的 Pixel 10 是唯一默认对照片进行签名的手机相机。iPhone 并不对照片进行签名。
如果几乎所有 AI 图像都带有 C2PA 签名,而几乎没有任何人类创作的图像带有签名,那么消费者将无法可靠地识别 AI 内容,因为任何想要将自己生成的 AI 内容伪装成人类创作的人,只需删除签名即可。要让 C2PA 取得成功,它需要存在于每台相机和每部手机上,这样,没有签名的照片就会变得罕见且可疑。
这现实吗?实际上,我认为是现实的。对 AI 进行监管的意愿(至少在 EU 是如此)会随着时间的推移而增加,虽然目前的 EU AI Act 仅强制要求对 AI 图像进行标记(这本身毫无用处),但未来的某些法规很可能会强制要求对所有图像进行标记。
C2PA 要发挥作用,必须解决的另一个普及问题是数据留存。目前,如果你下载了一张带有 C2PA 标记的图像,将其作为 Facebook 消息发送,然后重新下载,C2PA 清单就会被剥离。我们在互联网上看到的大多数图像都至少经过过一次社交媒体资源服务器。所有这些社交媒体公司都需要更新其重新编码图像内容的方式,以保留 C2PA 数据5。这几乎肯定需要更多的监管:C2PA 会给每个文件增加几十或几百 KB 的数据量,在社交媒体的规模下,这可是一笔巨大的成本6。
伪造 C2PA 签名
聪明的攻击者能伪造 C2PA 签名吗?某种程度上可以。似乎一直带头反对 C2PA 的 Neal Krawetz 指出,利用相机开发套件,很容易就能骗过数码相机,让它以为正在拍摄图像,而实际上是在被输入图像。这完全不是我的专业领域,所以如果你对相机硬件有更多了解,并且认为我弄错了,请来信指正。我想你也可以直接对着屏幕上的 AI 图像拍照,尽管我想你必须非常小心才能让它看起来像真的。
如果排除对数码相机的物理攻击,我认为 C2PA 更加稳健。你可以使用自签名证书为照片签名,但 C2PA 规范和文档指出,验证器必须检查你的证书是否能向上追溯到官方的 C2PA 信任列表。该列表目前仅包含 26 个证书,并且要加入其中需要经过一整套流程。这会减缓其普及速度,但至少使其难以被伪造7。
其他文件类型与隐患
我们一直在专门讨论图像,但对于任何类型的内容来说,情况大致相同。如果文件不支持 JUMBF 元数据(例如 Excel 文件或 PDF),那么 C2PA 元数据就必须存在于一个“附属文件”(sidecar)中:一个独立的 .c2pa 文件,可能位于某个 Microsoft 或 Adobe 内容服务器上,其中包含签名的校验和以及有关文件创建者的数据。
然而,当讨论的对象不再是图像时,“真实”内容与 AI 生成内容之间的界限就变得更加模糊了。这里有一个简单的例子:如果我让 ChatGPT 为我创建一个 Excel 电子表格,该文件会被标记为 AI 生成,但我只需将内容复制/粘贴到一个新的 Excel 文档中并保存,它就会被标记为人类创作8。没有任何软件工具能够识别出我何时在重新输入某些 AI 生成的文本(也许文本指纹技术除外,但该技术本身也存在一大堆问题)。
密钥管理方面也存在一些有趣的问题。ChatGPT 及其他 AI 工具面临的难题比较简单——它们的用户都在线,因此文件可以在服务器端进行签名——但是,如何对通过 Photoshop/Excel/Word 创建的文件进行签名呢?如果用户没有连接互联网,你是否会使用某种本地密钥?如果是的话,又该如何防止该密钥被提取出来并用于对 AI 生成的内容进行签名?
最后,自动为每张照片提取指纹是否构成侵犯公民自由的问题?如果每张照片都能追溯到你的相机,这是否会让吹哨人无从下手?我认为这是一个复杂的问题,但简而言之:我预计吹哨人早已清除了他们图像中的 EXIF 元数据,而清除 C2PA 元数据同样易如反掌;总的来说,我认为图像归属权对吹哨人是有利的,因为这能预先堵住“这是 AI 生成的”这类回应。
结论
C2PA 很可能会长期存在。但它目前并没有什么用,而且在完成两项庞大的技术工程之前,它都不会有用:
这将是一个漫长的组织过程,因为每个制造商都必须经历审批流程(或者决定建立自己的竞争系统),评估在图像中存储归属数据的法律后果等等。这也将是一个漫长的技术过程,因为 C2PA 元数据占据了图像大小的很大一部分:存储它将增加数 PB 的内容。
当然,C2PA 没用并不意味着我们大家不会去用它。许多公司面临压力,需要释放出它们关心 AI 安全的信号,并以此来规避监管打击。“我们正在对 AI 生成的内容进行加密签名”是一套很有说服力的“我们正在采取行动”的说辞,特别是对于那些技术不够精通、无法理解其局限性的人来说。我预计在短期内,涉足 AI 领域的大公司将在 C2PA 相关活动上投入大量工程力量。
从长远来看,一旦各方都参与进来,我认为 C2PA 最终会运作良好。它在某些方面显得有些笨拙,但“通过 PKI 证书链来证明内容”是个好主意。
有可能被破解吗?当然可以。按照设计,私钥将掌握在用户手中——在他们的相机里,在他们本地的 Photoshop 或 Microsoft Word 版本中,在他们的手机里——因此,拥有足够技术能力的用户将能够把它们破解出来,或者用它们对任何想要的内容进行签名。我仍然认为 C2PA 最终能够遏制 AI 内容泛滥的浪潮,因为大多数用户的技术水平不足以实施此类攻击。然而,对于那些看起来不切实际的内容,我们仍应保留一定的怀疑态度,即使其 C2PA 元数据中写着“由人类创建”。
如果你喜欢这篇文章,可以考虑订阅我的新文章邮件更新,或者在 Hacker News 上分享它。
这是一篇与本文共享标签的相关文章的预览。
文本 AI 水印移除起来永远都会是轻而易举的事。欧盟《人工智能法案》将于 2026 年 8 月,也就是距今一个月后,开始生效。其中最重要的新要求之一是第 50 条,要求所有 AI 输出都必须“可被检测为人工生成”。换言之,如果 LLM 提供商想在欧盟开展业务,就必须对其输出应用水印:某种可用于识别 AI 内容的隐藏签名。继续阅读...
需要完整排版与评论请前往来源站点阅读。