本篇博客记录 2023年11月1日 《人工智能背景下的数字水印》 讲座笔记。

先来明确一下水印在信息隐藏中的定位，如下图：

---

---

概述

水印用来做主动防御和溯源。

鲁棒水印的追求：保真度、容量、鲁棒性。三个指标互相制约。

图像水印：抗压缩、旋转、剪切、加噪。

AI for Watermark

图像

传统攻击方式（如JPEG压缩）

1. HiDDeN: Hiding Data With Deep Networks. ECCV, 2018.

END框架，对噪声层的设计。用可导操作模拟JPEG压缩的过程。

2. MBRS: Enhancing Robustness of DNN-based Watermarking by Mini-Batch of Real and Simulated JPEG Compression. ACM Multimedia, 2021.

对噪声层进行图像增强，增加噪声（合成&真实）的多样性。

3. De-END: Decoder-driven Watermarking Network. TMM, 2022.

将水印的透明性与鲁棒性结合在一起。将encoder和decoder进行直接耦合交互。

4. Flow-Based Robust Watermarking with Invertible Noise Layer for Black-Box Distortions. AAAI, 2023.

可逆网络前向嵌入，后向提取。

跨媒介攻击方式（屏摄）

1. Deep Template-Based Watermarking. TCSVT, 2020.
   
   
   

文档水印

1. AutoStegaFont: Synthesizing Vector Fonts for Hiding Information in Documents. AAAI, 2023.
   
   

音频水印

1. DeAR: A Deep-Learning-Based Audio Re-recording Resilient Watermarking. AAAI, 2023.

抗翻录等攻击。

3D网格水印

3D打印水印

对“3D打印-数字重建”的跨媒介鲁棒性。

1. 3D Print-Scan Resilient Localized Mesh Watermarking. WIFS, 2021.
   

3D打印实体水印

传统基于特殊材料的不可见嵌入方案：LayerCode（TOG 2019）、InfraredTags（CHI 2022）
传统基于图像增强的不可见嵌入方案：AirCode（UIST 2017）、G-ID（CHI 2020）

1. AnisoTag: 3D Printed Tag on 2D Surface via Reflection Anisotropy. CHI, 2023.

提出一种基于反射各向异性的3D打印实体水印方法。

Watermark for AI models

探究深度学习模型的版权保护需求。这一研究领域可参考我之前总结的文章：

文献综述｜CV领域神经网络水印发展综述

文献综述｜LM领域水印发展综述

白盒水印

黑盒水印

无盒水印

1. Model Watermarking for Image Processing Networks. AAAI, 2020.
   
2. Deep Model Intellectual Property Protection via Deep Watermarking. TPAMI, 2021.
   

攻击方式

Watermark for AIGC

生成式人工智能模型鉴别水印。

大模型生成文本的安全风险

The Curse of Recursion: Training on Generated Data Makes Models Forget. 2023.

LLM文本的被动检测

GPTZero、DetectGPT

LLM文本的主动检测——生成内容水印

白盒水印

A watemark for large language models. ICML, 2023.

可证安全隐写典型构造：拒绝采样 Reject Sampling

黑盒水印

Tracing Text Provenance via Context-Aware Lexical Substitution. AAAI, 2022.

音色水印

图像概念水印

后记：中科大张教授团队在水印这个领域的成果还是非常显著的，通过本次讲座我也对水印历年来的的发展脉络有了一个比较清晰的认知，希望观看本讲座的伙伴们也能够有所收获。

参考链接

追AI的人》第32期直播回放中国科学技术大学张卫明教授分享