A Transfer Attack to Image Watermarks

水印技术被广泛应用于工业界，以检测人工智能生成的图像。文献中已经很好地了解了这种基于水印的检测器在白盒和黑盒设置下对抗攻击的鲁棒性。然而，在无盒设置下的鲁棒性却很少被了解。特别地，多项研究声称图像水印在这种设置下是强健的。在本文中，我们提出了一种新的转移对抗攻击来针对无盒设置下的图像水印。我们的转移攻击向水印图像添加扰动，以逃避攻击者自己训练的多个替代水印模型，而且扰动后的水印图像也能逃避目标水印模型。我们的主要贡献是展示，无论攻击者是否能够访问水印模型或检测API，基于水印的人工智能生成图像检测器都不具有对抗攻击的鲁棒性。

本文旨在探讨在no-box设置下，针对图像数字水印的转移攻击对于基于水印的AI生成图像检测器的影响。这是否是一个新问题？

本文提出了一种新的转移攻击方法，通过向带水印的图像添加扰动，成功地规避了多个攻击者自己训练的代理水印模型，并且这个扰动的图像也能够规避目标水印模型。本文的主要贡献是理论和实践上都证明了，即使攻击者没有水印模型或检测API的访问权限，基于水印的AI生成图像检测器也不具备抵御转移攻击的鲁棒性。

本文实验设计了一种新的转移攻击方法，成功地规避了多个攻击者自己训练的代理水印模型，并且这个扰动的图像也能够规避目标水印模型。本文的主要贡献是理论和实践上都证明了，即使攻击者没有水印模型或检测API的访问权限，基于水印的AI生成图像检测器也不具备抵御转移攻击的鲁棒性。值得深入研究。

在这个领域中，最近的相关研究包括：1. “Adversarial Attacks on Deep Learning Models in the Physical World” (Kurakin et al., 2016); 2. “Adversarial Examples that Fool both Computer Vision and Time-Limited Humans” (Eykholt et al., 2018); 3. “Transferability in Machine Learning: from Phenomena to Black-Box Attacks using Adversarial Samples” (Papernot et al., 2016).