A marca d’água que ninguém vê — mas que está em toda imagem do Gemini

Toda vez que você gera uma imagem no Google Gemini, algo acontece nos bastidores que a maioria dos usuários nunca percebe. Um padrão invisível é entrelaçado diretamente nos pixels da imagem, antes mesmo dela chegar até você. Não é um logo discreto no canto. Não é uma assinatura nos metadados. É algo muito mais sofisticado: uma marca d’água embutida no próprio processo de geração, no nível do espaço latente do modelo de difusão.

O Google chama isso de SynthID, e é a aposta da DeepMind para resolver um dos maiores problemas da era da IA generativa: como saber se uma imagem foi criada por uma máquina?

A resposta deles era elegante. Era imperceptível. Era supostamente inquebrável.

Até que um pesquisador independente decidiu que queria entender exatamente como funciona — e conseguiu.

O que é o SynthID e por que o Google investiu tanto nisso

O SynthID nasceu de uma necessidade real. Com modelos como Imagen, DALL-E e Midjourney gerando imagens cada vez mais realistas, a linha entre “foto real” e “imagem sintética” ficou borrada a ponto de ser irreconhecível para o olho humano. Deepfakes políticos, fotos falsas de celebridades, evidências fabricadas — o problema escalonou rápido.

A solução do Google DeepMind usa dois modelos de deep learning treinados juntos: um para inserir a marca d’água e outro para detectar. O truque é que ambos são otimizados simultaneamente — o gerador tenta esconder a marca o máximo possível, e o detector tenta encontrá-la com a maior precisão possível. É um jogo adversarial, parecido com a dinâmica de uma GAN.

Na prática, isso significa que:

• A marca d’água é imperceptível ao olho humano
• Ela sobrevive a cortes, filtros, compressão JPEG e redimensionamento
• Funciona em imagens, vídeo, áudio e até texto
• Está presente em toda saída do Gemini desde 2024

O Google inclusive abriu um portal de detecção onde qualquer pessoa pode enviar uma imagem e verificar se ela tem o SynthID. Parecia um sistema blindado.

Parecia.

O pesquisador que não se contentou com “confie em nós”

Alosh Denny não é um hacker de filme. É um pesquisador de segurança que ficou curioso com uma pergunta simples: se o SynthID está em toda imagem do Gemini, será que dá para encontrá-lo sem ter acesso ao código do Google?

A resposta é sim. E o caminho foi brutal.

Denny gerou 123 mil pares de imagens — cada par contendo uma imagem com marca d’água (gerada pelo Gemini) e uma sem (de outras fontes ou processada para remover metadados). A ideia era comparar sistematicamente as diferenças entre os dois grupos e isolar o sinal da marca d’água.

O primeiro passo foi calcular a média dos padrões de ruído. Quando você subtrai uma imagem “limpa” de uma com SynthID, o que sobra deveria ser ruído aleatório — se não houvesse marca d’água. Mas não era aleatório. Havia um padrão consistente.

E esse padrão vivia no canal verde da imagem.

O canal verde guarda o segredo

Uma das descobertas mais surpreendentes da pesquisa é que o SynthID concentra a maior parte da sua energia no canal verde do espaço de cor RGB. Não é uniforme entre os três canais. O verde carrega o sinal mais forte.

Por que o verde? Provavelmente porque o olho humano é mais sensível a variações de luminância do que de crominância, e o canal verde é o que mais contribui para a percepção de luminância. Esconder informação ali permite que a marca d’água se “misture” com a textura natural da imagem de forma mais eficiente.

Denny usou análise espectral — transformadas de Fourier — para examinar o sinal no domínio da frequência. O que encontrou foi uma codificação spread-spectrum: a marca d’água estava espalhada por várias faixas de frequência, tornando-a resistente a filtragens simples. É a mesma técnica usada em telecomunicações militares para tornar sinais difíceis de interceptar.

Mas aqui vem a parte que realmente surpreendeu: o template de fase da marca d’água é idêntico em todas as imagens geradas pelo mesmo modelo Gemini. Ou seja, não é uma marca d’água única por imagem — é uma assinatura do modelo. Muda o conteúdo, mas a estrutura subjacente é a mesma.

# Pseudocódigo simplificado da detecção
import numpy as np
from scipy.fft import fft2, fftshift

def detect_synthid(image):
    # Isola o canal verde
    green = image[:, :, 1].astype(float)

    # Transformada de Fourier 2D
    spectrum = fftshift(fft2(green))
    magnitude = np.abs(spectrum)
    phase = np.angle(spectrum)

    # Compara com o template conhecido
    correlation = correlate_with_template(phase, KNOWN_TEMPLATE)

    return correlation > THRESHOLD

Com essa abordagem, Denny construiu um detector que identifica SynthID com 90% de precisão. Sem acesso ao código do Google. Sem documentação interna. Apenas análise de sinal e muita paciência.

O bypass: 75% da energia eliminada

Detectar é uma coisa. Remover é outra completamente diferente.

A versão 2 do bypass conseguiu uma taxa de evasão de cerca de 16% — melhor que nada, mas longe de ser prático. A grande virada veio com a V3, que introduziu o conceito de SpectralCodebook multi-resolução.

A ideia é elegante na sua brutalidade: em vez de tentar remover a marca d’água de forma genérica, o SpectralCodebook armazena fingerprints específicos para cada resolução de imagem. Quando você alimenta uma imagem no sistema, ele detecta a resolução, seleciona o perfil correto e aplica uma remoção cirúrgica nas faixas de frequência que contêm o sinal do SynthID.

Um PSNR acima de 40 dB é considerado praticamente imperceptível — ou seja, a imagem resultante mantém qualidade visual enquanto perde a maior parte da marca d’água. Na prática, o detector do Google teria dificuldade significativa em identificar uma imagem processada pela V3.

Mas — e esse é um “mas” importante — Denny mesmo admite que a remoção completa pode ser impossível.

“Não é uma marca d’água na imagem. É a imagem.”

Essa frase do próprio pesquisador resume o maior insight da pesquisa. O SynthID não funciona como uma marca d’água tradicional que é adicionada depois da criação do conteúdo. Ele é parte do processo generativo. A marca d’água é tecida no espaço latente do modelo de difusão durante a geração.

Isso cria um problema fundamental para qualquer tentativa de remoção: você não está tirando algo que foi colocado em cima da imagem. Está tentando separar dois sinais que nasceram juntos, entrelaçados no nível matemático mais profundo do modelo.

É como tentar remover o sal de um bolo depois de assado. Você pode mascarar o sabor, pode até reduzir a percepção, mas o sal está na estrutura molecular da massa.

Denny conseguiu reduzir significativamente a detectabilidade, mas não eliminá-la por completo. E qualquer método de remoção agressivo demais começa a degradar a qualidade da imagem — derrotando o propósito.

O elefante na sala: e o SynthID para texto?

Imagens são apenas parte da equação. O Google também implementou SynthID para texto gerado pelo Gemini, e a técnica é fundamentalmente diferente.

Em vez de operar no domínio da frequência visual, o SynthID para texto manipula as probabilidades de seleção de tokens durante a geração. Cada token (palavra ou pedaço de palavra) recebe uma pontuação de probabilidade baseada no contexto. O SynthID ajusta essas probabilidades de forma sutil — imperceptível na leitura — mas que cria um padrão estatístico detectável.

Denny também criou um repositório para analisar essa variante (reverse-SynthID-text), mas aqui a história é diferente. A marca d’água em texto é muito mais frágil:

• Reescrever o texto em outras palavras praticamente elimina a marca
• Traduzir para outro idioma destrói o padrão
• Editar manualmente algumas frases já reduz a confiança do detector significativamente

O Google reconhece essas limitações na própria documentação do SynthID. Para texto, a robustez é substancialmente menor que para imagens.

As implicações: quem ganha e quem perde

Essa pesquisa levanta questões que vão muito além da técnica.

Para o Google: É um lembrete de que segurança por obscuridade tem prazo de validade. O SynthID foi projetado assumindo que ninguém teria acesso suficiente para fazer engenharia reversa. Denny provou que, com volume suficiente de dados e conhecimento de processamento de sinais, a obscuridade pode ser penetrada.

Para reguladores: Se a principal tecnologia de marcação de conteúdo AI pode ser parcialmente neutralizada por um pesquisador independente, o que um ator estatal ou uma organização criminosa com mais recursos conseguiria? Legislações como o AI Act europeu, que dependem de marcação de conteúdo AI, precisam repensar a confiança depositada nessas tecnologias.

Para artistas e criadores: A detecção de conteúdo AI é uma faca de dois gumes. Por um lado, marca d’água robusta protege contra fraude e deepfakes. Por outro, se a remoção se tornar trivial, voltamos à estaca zero.

Para pesquisadores de segurança: O trabalho de Denny é um exemplo textbook de responsible disclosure aplicado a sistemas de IA. Ele documentou tudo publicamente, não criou uma ferramenta plug-and-play para remoção em massa, e deixou claro que a remoção completa é provavelmente impossível.

Spread-spectrum: a mesma tech dos militares

Vale parar um segundo para apreciar a escolha técnica do Google. Codificação spread-spectrum foi desenvolvida originalmente para comunicações militares — a ideia é espalhar um sinal por uma faixa larga de frequências para que ele se pareça com ruído para qualquer receptor que não tenha a chave de decodificação.

É a mesma tecnologia por trás do GPS, do Wi-Fi (CDMA), e de vários sistemas de comunicação que precisam ser resistentes a interferência e interceptação. Aplicar isso a marcas d’água em imagens é brilhante porque:

1. Resistência a filtragem — como o sinal está espalhado, filtrar uma faixa de frequência não remove a marca toda
2. Baixa detectabilidade — sem saber o que procurar, o sinal parece ruído natural da imagem
3. Capacidade de dados — dá para codificar informação útil (modelo de origem, timestamp, etc.) na marca d’água

O problema é que, como Denny demonstrou, quando você tem acesso a milhares de amostras do mesmo sistema, a “aleatoriedade” começa a mostrar padrões. E padrões podem ser isolados e neutralizados.

O que vem depois

O Google não comentou publicamente sobre a pesquisa de Denny (pelo menos até o momento desta publicação). Mas é provável que a próxima iteração do SynthID inclua contramedidas:

• Marks per-image únicas em vez de um template fixo por modelo
• Distribuição mais uniforme entre os canais RGB
• Variação temporal do padrão para dificultar análise estatística em lote
• Detecção de remoção — se o detector encontrar sinais de que a marca foi manipulada, flaggear a imagem como suspeita

Enquanto isso, outros players estão desenvolvendo abordagens complementares. A C2PA (Coalition for Content Provenance and Authenticity), que inclui Adobe, Microsoft, Intel e outros, aposta em metadados criptografados — uma abordagem diferente que não depende de marcas d’água embutidas no conteúdo em si.

A real é que provavelmente nenhuma solução única vai resolver o problema de autenticidade de conteúdo AI. Vai ser uma combinação de marcas d’água, metadados, blockchain de proveniência e detecção por classificadores treinados.

Como testar se suas imagens têm SynthID

Se você ficou curioso para verificar suas próprias imagens, o Google oferece um detector oficial. Basta acessar o portal de verificação do SynthID e fazer upload de qualquer imagem. O sistema retorna um score de confiança indicando a probabilidade de que aquela imagem foi gerada por uma ferramenta Google.

Mas existe uma ironia aqui: ao disponibilizar um detector público, o Google inadvertidamente facilitou a pesquisa de Denny. O detector funciona como um oráculo — você envia uma imagem modificada, ele diz se ainda tem marca d’água, e você ajusta sua técnica de remoção com base na resposta. É o clássico problema de segurança onde dar acesso ao verificador ajuda o atacante.

Ferramentas de terceiros também estão surgindo. Sites como RemoveMySynthID.com prometem remover a marca d’água de imagens AI, embora a eficácia real seja questionável. Projetos open source como o noai-watermark tentam lidar com múltiplos tipos de marca d’água (SynthID, StableSignature, TreeRing) de forma unificada.

Eu não recomendo usar nenhuma dessas ferramentas para enganar sistemas de detecção — mas para pesquisa e entendimento de como essas tecnologias funcionam, são recursos legítimos.

O código está no GitHub

Quem quiser se aprofundar, todo o trabalho de Denny está disponível em código aberto:

• reverse-SynthID (imagens)
• reverse-SynthID-text (texto)
• Artigo técnico completo no Medium

A pesquisa usou 123 mil pares de imagens, 200 imagens plain do Gemini e levou semanas de análise. Não é algo que qualquer pessoa vai replicar em uma tarde — mas o fato de que é possível muda fundamentalmente a conversa sobre confiança em sistemas de marcação de conteúdo AI.

E talvez essa seja a maior lição: em segurança, a pergunta nunca é “isso pode ser quebrado?” — é sempre “quanto custa para quebrar?”. Denny mostrou que o custo pode ser menor do que o Google gostaria.

Fonte de inspiração: Reverse engineering Gemini’s SynthID detection (GitHub)