Ein Softwareentwickler behauptet, Googles KI-Wasserzeichen-System SynthID mit überraschend einfachen Mitteln geknackt zu haben – und stellt seinen Code öffentlich zur Verfügung. Google widerspricht. Der Vorfall offenbart ein grundsätzliches Dilemma technischer Echtheitsnachweise im KI-Zeitalter.
Googles KI-Wasserzeichen SynthID: Entwickler behauptet, System entschlüsselt zu haben
Was SynthID leisten soll
SynthID ist ein von Google DeepMind entwickeltes System, das KI-generierte Inhalte mit einem unsichtbaren Wasserzeichen versieht. Die Markierung wird direkt in die Pixelstruktur eines Bildes eingebettet – ohne sichtbare Veränderung der Bildqualität. Ziel ist es, KI-generierte Inhalte auch dann noch identifizierbar zu machen, wenn sie beschnitten, komprimiert oder anderweitig bearbeitet wurden. Das System kommt in verschiedenen Google-Produkten zum Einsatz, darunter Bildgeneratoren auf Basis von Gemini.
Der Angriff: 200 Bilder und Signalverarbeitung
Der Entwickler, der auf GitHub und Medium unter dem Nutzernamen Aloshdenny auftritt, beschreibt seinen Ansatz als überraschend simpel. Laut seiner Dokumentation nutzte er lediglich 200 mit Gemini generierte Bilder sowie klassische Signalverarbeitungsmethoden – ohne neuronale Netze, ohne privilegierten Systemzugang.
Die zentrale Erkenntnis: Mittelt man eine ausreichende Anzahl nahezu schwarzer KI-Bilder, bleiben im Ergebnis ausschließlich die Wasserzeichen-Pixel übrig, die sich so isolieren lassen.
„Stellt sich heraus: Wenn man arbeitslos ist und genug ‚reinschwarze’ KI-generierte Bilder mittelt, schaut einem das Wasserzeichen buchstäblich entgegen.” – Aloshdenny
Seinen Code hat er öffentlich auf GitHub veröffentlicht. Google hingegen bestreitet die Kernaussage: Gegenüber The Verge erklärte das Unternehmen, die Behauptung sei nicht korrekt – ohne dabei im Detail auf die technischen Argumente des Entwicklers einzugehen.
Einordnung: Strukturelles Problem oder Einzelfall?
Unabhängig davon, ob Alosdennys Methode tatsächlich funktioniert, verdeutlicht der Vorfall ein strukturelles Dilemma bei technischen Authentifizierungssystemen:
Sobald ein Wasserzeichen-Verfahren öffentlich bekannt ist, kann es potenziell analysiert und ausgehebelt werden.
Security-Forscher sprechen in diesem Zusammenhang vom sogenannten „Security through Obscurity”-Problem – Systeme, deren Schutz auf der Geheimhaltung ihrer Funktionsweise beruht, sind grundsätzlich anfällig für Reverse-Engineering-Angriffe. Wasserzeichen-basierte Ansätze gelten in der Forschung zwar als nützliche erste Verteidigungslinie gegen Desinformation, nicht jedoch als abschließende Lösung. Mehrere Studien haben gezeigt, dass auch andere Wasserzeichen-Systeme durch gezielte Angriffe – etwa adversarielle Bildbearbeitung – geschwächt werden können.
Was das für Unternehmen bedeutet
Für Unternehmen, die SynthID oder vergleichbare Wasserzeichen-Technologien zur Kennzeichnung von KI-Inhalten einsetzen, ergibt sich eine klare Schlussfolgerung: Solche Systeme können als ergänzendes Instrument sinnvoll sein, ersetzen aber keine umfassende Content-Governance-Strategie.
Wer KI-generierte Inhalte im regulatorischen Kontext – etwa im Rahmen des EU AI Act oder interner Compliance-Anforderungen – nachweislich kennzeichnen muss, sollte auf mehrschichtige Ansätze setzen:
- Metadaten-Standards wie C2PA
- Interne Dokumentationsprozesse
- Organisatorische Kontrollen
Technische Schutzmaßnahmen allein bilden kein hinreichendes Fundament für Vertrauen in die Herkunft digitaler Inhalte.
Der Fall SynthID ist damit weniger ein Versagen eines einzelnen Produkts als vielmehr ein Weckruf für die gesamte Branche: Robuste KI-Transparenz erfordert mehr als unsichtbare Pixel.
Quelle: The Verge AI