DeMark: 딥페이크 워터마킹 방어 시스템에 대한 쿼리 없이 작동하는 블랙박스 공격

DeMark: A Query-Free Black-Box Attack on Deepfake Watermarking Defenses

현실적인 딥페이크의 급속한 확산은 오용에 대한 심각한 우려를 불러일으키고 있으며, 이는 합성 이미지에 방어적 워터마크를 사용하여 신뢰할 수 있는 탐지 및 출처 추적을 가능하게 합니다. 그러나 이러한 방어 패러다임은 워터마크가 본질적으로 제거에 강하다는 것을 전제로 합니다. 우리는 DeMark라는 쿼리 없이 작동하는 블랙박스 공격 프레임워크를 통해 이러한 가정에 도전합니다. DeMark는 인코더-디코더 워터마킹 모델의 잠재 공간 취약점을 활용하여 압축 센싱 기반의 희소화 과정을 통해 워터마크 신호를 억제하면서 딥페이크에 적합한 시각적 현실감과 구조적 특성을 유지합니다. DeMark는 8가지 최첨단 워터마킹 시스템에서 워터마크 탐지 정확도를 평균 100%에서 32.9%로 감소시키면서 자연스러운 시각적 품질을 유지하여 기존 공격보다 뛰어난 성능을 보입니다. 또한 이미지 초해상도, 희소 워터마킹 및 적대적 학습을 포함한 세 가지 방어 전략을 평가한 결과, 대부분 효과가 없는 것으로 나타났습니다. 이러한 결과는 현재 인코더-디코더 워터마킹 시스템이 잠재 공간 조작에 취약하다는 것을 보여주며, 딥페이크로부터 안전하게 보호하기 위한 보다 강력한 워터마킹 방법의 필요성을 강조합니다.

The rapid proliferation of realistic deepfakes has raised urgent concerns over their misuse, motivating the use of defensive watermarks in synthetic images for reliable detection and provenance tracking. However, this defense paradigm assumes such watermarks are inherently resistant to removal. We challenge this assumption with DeMark, a query-free black-box attack framework that targets defensive image watermarking schemes for deepfakes. DeMark exploits latent-space vulnerabilities in encoder-decoder watermarking models through a compressive sensing based sparsification process, suppressing watermark signals while preserving perceptual and structural realism appropriate for deepfakes. Across eight state-of-the-art watermarking schemes, DeMark reduces watermark detection accuracy from 100% to 32.9% on average while maintaining natural visual quality, outperforming existing attacks. We further evaluate three defense strategies, including image super resolution, sparse watermarking, and adversarial training, and find them largely ineffective. These results demonstrate that current encoder decoder watermarking schemes remain vulnerable to latent-space manipulations, underscoring the need for more robust watermarking methods to safeguard against deepfakes.