확산 모델 기반 의미론적 편향을 활용한 AI 생성 이미지 포렌식에서의 공격 방어 워터마킹

Attack-Resistant Watermarking for AIGC Image Forensics via Diffusion-based Semantic Deflection

AI 생성 콘텐츠(AIGC)가 창작 워크플로우에서 보편화됨에 따라, 사용자 생성 AI 이미지의 저작권 보호는 새로운 과제로 떠오르고 있습니다. 기존 워터마킹 방법은 (1) 실제 공격에 취약하며, 종종 위조 및 제거 공격에 대한 방어와 균형을 맞춰야 한다는 단점이 있고, (2) 의미 수준에서의 변조 위치 파악을 지원하지 못합니다. 본 논문에서는 확산 기반 AIGC 서비스와 연동하여 사용할 수 있는, 학습이 필요 없는 고유 워터마킹 프레임워크인 PAI를 소개합니다. PAI는 견고한 소유권 확인, 공격 탐지, 그리고 의미 수준에서의 변조 위치 파악이라는 세 가지 핵심 기능을 동시에 제공합니다. 기존의 고유 워터마킹 방법이 확산 모델의 노이즈 초기화 단계에서 워터마크를 삽입하는 것과 달리, 우리는 사용자 키에 따라 디노이징 경로를 미세하게 조정하는 새로운 키 기반 편향 메커니즘을 설계했습니다. 이러한 경로 수준의 결합은 ID와 콘텐츠의 의미론적 연결성을 더욱 강화하여 실제 공격에 대한 견고성을 향상시킵니다. 또한, 유효한 키만이 검증을 통과할 수 있다는 이론적 분석을 제공합니다. 12가지 공격 방법에 대한 실험 결과, PAI는 98.43%의 검증 정확도를 달성했으며, 평균적으로 SOTA 방법보다 37.25% 향상된 성능을 보였습니다. 또한, PAI는 고급 AIGC 편집에도 강한 변조 위치 파악 성능을 유지합니다. 저희의 코드는 https://github.com/QingyuLiu/PAI 에서 확인할 수 있습니다.

Protecting the copyright of user-generated AI images is an emerging challenge as AIGC becomes pervasive in creative workflows. Existing watermarking methods (1) remain vulnerable to real-world adversarial threats, often forced to trade off between defenses against spoofing and removal attacks; and (2) cannot support semantic-level tamper localization. We introduce PAI, a training-free inherent watermarking framework for AIGC copyright protection, plug-and-play with diffusion-based AIGC services. PAI simultaneously provides three key functionalities: robust ownership verification, attack detection, and semantic-level tampering localization. Unlike existing inherent watermark methods that only embed watermarks at noise initialization of diffusion models, we design a novel key-conditioned deflection mechanism that subtly steers the denoising trajectory according to the user key. Such trajectory-level coupling further strengthens the semantic entanglement of identity and content, thereby further enhancing robustness against real-world threats. Moreover, we also provide a theoretical analysis proving that only the valid key can pass verification. Experiments across 12 attack methods show that PAI achieves 98.43\% verification accuracy, improving over SOTA methods by 37.25\% on average, and retains strong tampering localization performance even against advanced AIGC edits. Our code is available at https://github.com/QingyuLiu/PAI.