GitHub 上出现了一个名为 remove-ai-watermarks 的开源项目。项目文档称,它可以去除 AI 图片里的可见水印、不可见水印,以及 C2PA、EXIF、XMP、PNG 文本块等来源信息。
它点名的对象不少:Google Gemini/Nano Banana、OpenAI DALL-E/ChatGPT、Stable Diffusion、Adobe Firefly、Midjourney。项目还声称,可以移除触发 Instagram、Facebook、X 等平台“Made with AI”标签的元数据。
这件事最该看的,不是它能不能“清掉一切”。更关键的是:AI 内容治理到底有多少判断,正在依赖一张图片文件里那点可被编辑、可被转码、可被复制的标识。
它宣称能清三类标识,但不要把作者说法当验证结论
项目文档把能力分成三类。
一类是可见水印,比如 Gemini/Nano Banana 图片上的 sparkle 标识。项目声称可通过图层反推和修补去除。
一类是元数据,包括 C2PA、EXIF、XMP、PNG 文本块。项目声称可清理其中和 AI 生成相关的字段。
还有一类是隐形水印。项目声称可通过扩散再生成,尝试削弱 SynthID、StableSignature、TreeRing 等不可见水印。
这三件事不能混在一起看。
清理 EXIF、XMP、PNG 文本块并不新鲜。很多图像工具、转码流程、社交平台压缩链路,本来就可能改变或删除这些信息。真正敏感的是 C2PA 来源凭证和隐形水印。
C2PA 牵涉内容凭证生态。隐形水印是否能稳定失效,则需要第三方检测器、大样本测试和不同编辑链路验证。仅凭项目作者文档,不能写成已被外部验证的事实。
| 标识类型 | 项目宣称做法 | 更稳妥的判断 |
|---|---|---|
| Gemini 可见 sparkle 标识 | 修补或移除固定样式标识 | 对固定样式更可行,遇到裁剪、压缩、样式变化会受影响 |
| C2PA / EXIF / XMP / PNG 文本块 | 删除 AI 生成相关字段 | 本地副本可被清理,但不等于平台或模型服务端记录消失 |
| SynthID 等隐形水印 | 用扩散再生成削弱水印 | 目前主要来自作者声明,仍需第三方验证 |
所以,这个项目更像一次压力测试。它暴露了 AI 溯源体系的脆弱点,但还不能直接得出“所有水印都没用”的结论。
真正高风险的地方在用途。
如果它只被用于研究水印鲁棒性,问题还在安全测试范畴内。如果被用于规避平台“Made with AI”标签、广告审核、新闻发布规范或选举内容要求,性质就变了。那不是单纯的图像处理,而是对平台和监管判断的绕行。
元数据不是护身符,水印也不是身份证
AI 内容标识现在大致有三条路线:可见水印、不可见水印、加密来源凭证。
Google 推 SynthID。Adobe、Microsoft、OpenAI 等支持 C2PA Content Credentials。Meta 等社交平台会利用来源信息给内容打上 AI 标签。
这些路线都有用,但都不是护身符。
可见水印最直观,也最容易被裁切、修补或覆盖。元数据适合平台间传递,但会在截图、转码、编辑、二次上传中丢失。隐形水印更隐蔽,却要面对压缩、滤镜、再生成和对抗性处理。
老问题并不陌生。
相机 EXIF 曾被用来辅助判断拍摄设备和时间,后来也被广泛清理。数字版权管理长期试图用技术限制复制,最后仍要和法律、平台分发、商业激励一起运作。
AI 图像溯源正在走同一条路:技术能抬高造假和规避成本,但不能单独承担治理责任。
还有一个容易误解的点:去标识不等于匿名化。
项目文档也提示,去水印副本不能删除平台或模型服务端已有的生成记录。比如一张 Gemini 图片,如果曾经存在账号历史、产品上传记录或服务端备份里,本地文件被清理,不代表生成链路从世界上消失。
这句话很重要。
对普通读者来说,它能防止一个危险误判:清掉文件里的标签,不等于清掉责任。对平台和监管来说,它也说明本地文件只是证据链的一段,不是全部。
最受影响的是平台安全和合规团队
这类工具最直接冲击的,不是普通用户修图习惯,而是平台安全、内容治理和企业合规流程。
过去,平台可以把 C2PA、XMP DigitalSourceType、EXIF 字段当作自动标识依据之一。若这类字段被规模化清理,审核策略就要迁移到多信号判断。
这会增加成本,也会增加误判。
平台安全团队需要减少对单一元数据字段的依赖。更现实的做法,是把上传链路、账号行为、图像检测、传播上下文、人工复核放在一起看。开发者也要预期:只靠写入文件元数据来证明来源,抗删改能力有限。
合规从业者的动作更具体。
如果企业营销、媒体机构或广告团队已经把“文件自带 AI 标签”当作主要合规证明,就该延后对这类单点方案的采购判断,或要求供应商说明服务端记录、凭证校验、审计日志如何配合。采购不一定停,但不能只看一张图片下载后的字段。
关注 AI 内容治理的科技读者,也要把问题看窄一点。
这个项目并不证明所有 AI 标识都失效。它说明的是:本地文件标识很容易成为薄弱环节。真正能降低误导风险的,是多层证据链,而不是某一种水印格式的宣传页。
法律压力也在加大。
欧盟 AI Act 对 AI 内容标识设有义务安排。美国联邦和州层面,围绕来源信息、选举深伪和性深伪已有规则推进。中国深度合成相关规定要求显著标识。不同司法辖区口径不同,但共同方向很清楚:带有欺骗意图地移除来源信息,风险会变高。
接下来要看三件事,且都很具体。
GitHub 等代码托管平台会不会按滥用风险处理这类项目。Google、OpenAI、Adobe 会不会强化服务端核验和检测入口。社交平台会不会降低对单一元数据字段的权重,转向更重的风控链路。
若这些动作发生,AI 内容标识会从“文件里的一枚标签”,变成一套更贵、更慢、也更难绕开的系统。代价会落到平台审核、创作者发布和企业合规流程上。
回到开头那个项目,它真正刺中的不是某个水印方案,而是一个治理幻想:只要给 AI 图片贴上标签,后面的识别、审核和问责就会自动成立。
事实没那么省事。