跳转至

SLICE: Semantic Latent Injection via Compartmentalized Embedding for Image Watermarking

会议: CVPR 2026
arXiv: 2603.12749
代码: 无
领域: 图像安全 / 数字水印
关键词: image watermarking, diffusion model, semantic-aware, tamper localization, training-free

一句话总结

提出SLICE框架,将图像语义解耦为四个因子(主体/环境/动作/细节),各自锚定到扩散模型初始噪声的不同空间分区,实现细粒度语义感知水印——不仅能检测篡改,还能精确定位被篡改的语义因子,且完全无需训练。

背景与动机

扩散模型的初始噪声水印(如Tree-Ring、Gaussian Shading、WIND)是图像溯源的主流免训练方案,但它们的噪声模式与内容无关,容易被反转+重生成的伪造攻击(LFA、RPM)绕过。SEAL将水印与图像语义绑定,提升了对伪造攻击的抵抗力,但它依赖单一全局语义描述符。最近的CSI攻击证明:攻击者可以进行局部但全局连贯的语义编辑(例如只改动作或主体),在不破坏全局语义一致性的前提下篡改关键信息,从而绕过SEAL的验证。问题的根源在于:图像语义不是单一整体,而是由多个部分独立的因子组成的。

核心问题

如何设计一种细粒度语义水印方案,使得局部语义编辑(如改变主体或动作)不仅可检测,还能被精确定位到具体的语义维度?

方法详解

整体框架

SLICE的pipeline分三步:(1) 从参考图像中提取四个语义因子描述符,(2) 将每个因子通过keyed哈希映射到初始噪声的不同空间分区,(3) 检测时重新提取语义并逐分区对比验证。使用SD V2作为生成模型,Qwen3-VL作为VLM提取语义。

关键设计

  1. 因子化语义提取 (Factorized Semantic Extraction):用VLM配合精心设计的meta-prompt从图像中提取四个因子:subject(主体)、environment(环境)、action(动作)、detail(细节)。这四个因子从不同角度完整覆盖图像语义。实验发现中文prompt的语义提取稳定性最高(余弦相似度接近1.0),因此默认使用中文prompt。

  2. 空间分区语义注入 (Spatially-Partitioned Semantic Injection):将latent空间的 \(h \times w\) 网格划分为四个不重叠区域 \(\Omega_k\),每个区域对应一个语义因子。对每个位置 \(p \in \Omega_k\),通过 \(\mathbf{z}_T(p) = H(E(s_k), p, \sigma)\) 生成噪声值(\(E\) 是文本编码器,\(H\) 是keyed哈希合成函数,\(\sigma\) 是密钥)。这样每个分区的噪声只依赖对应的语义描述、空间位置和密钥。

  3. 三态检测机制 (Three-State Detection):检测时对可疑图像做DDIM反转得到 \(\mathbf{z}_{inv}\),重新提取语义并重建参考噪声 \(\hat{\mathbf{z}}_T\),逐像素比较距离。定义分区匹配率 \(m_k\) 和全局匹配率 \(m_g\),输出三种状态:

  4. State I(完整且可信):\(m_g \geq \tau_g\) 且所有 \(m_k \geq \tau_k\)
  5. State II(局部语义篡改):\(m_g \geq \tau_g\) 但某些 \(m_k < \tau_k\),失败的分区直接指示被篡改的因子
  6. State III(无水印或严重损坏):\(m_g < \tau_g\)

理论保证

  • Theorem 4.3:在有界DDIM反转误差和语义稳定性假设下,未篡改因子保持高匹配率 \(m_k \geq 1 - \beta_k - \gamma_k\),被篡改因子的匹配率有上界 \(m_k \leq 1 - (\rho_k - \beta_k)^+\)
  • Theorem 4.4:对无水印或无密钥伪造输入,误接受概率以指数速度衰减:\(P(\text{State I or II}) \leq \exp(-hw \cdot D_{KL}(\tau_g \| q))\)

实验关键数据

检测器 (ASR%) LFA RPM CSI
Gaussian Shading 100 100 100
Tree-Ring 93.81 100 100
WIND 100 100 100
SEAL 0 7 81
SLICE 0 5 19
扰动类型 Clean Rotate JPEG Blur Noise Bright
检测精度 1.000 1.000 0.990 0.988 0.993 0.941
  • CLIP分数(SDP数据集):注入前33.034 → 注入后32.789,几乎无影响
  • 局限:对极端裁剪缩放(C&S)攻击脆弱(AUC降至0.054),但结合被动取证可缓解(AUC 0.85-0.99)

消融实验要点

  • Case Study展示三态检测的准确性:原图所有因子匹配数远超阈值35;将"女孩"改为"男孩盯着前方"后,subject(55)和environment(75)仍过阈值,但action(26)和detail(33)低于阈值,正确触发State II
  • 中文prompt在四个语义维度上稳定性均最高,其他语言(英/法/西/葡/德/日)在detail和action维度出现明显漂移

亮点

  • 四因子语义分区的设计极为精巧:将全局语义绑定问题转化为分区独立验证,使局部编辑变成分区级不匹配
  • 三态检测不仅检测"有没有水印",还能精确定位"哪个语义被篡改了"——这在水印领域是全新的验证粒度
  • 完全training-free,且有严格的理论保证(误接受率指数衰减)
  • 用中文prompt做语义提取的发现颇有趣——与Qwen3-VL的对齐度最好

局限性 / 可改进方向

  • 对极端几何变换(大幅裁剪/缩放)脆弱,需依赖被动取证补充防御
  • 四个语义因子的粒度是否足够?对某些场景(如多物体交互)可能需要更细的分区
  • 依赖VLM语义提取的稳定性——不同VLM或不同版本可能导致语义漂移
  • 设计空间不变的解耦语义嵌入是有前景的后续方向

与相关工作的对比

  • vs SEAL:SEAL用单一全局语义绑定,被CSI攻击击穿(ASR 81%);SLICE用分区绑定将CSI的ASR降到19%
  • vs Tree-Ring/Gaussian Shading/WIND:这些方法内容无关,所有伪造攻击ASR接近100%;SLICE的语义绑定提供本质性防护
  • vs 后处理/微调水印:SLICE完全无训练,不需修改模型参数,部署灵活

启发与关联

  • 分区化验证思想可迁移到其他需要细粒度溯源的场景(如视频水印、多模态内容认证)
  • 语义因子解耦+空间分区的范式可以扩展到更多因子或层次化分区

评分

  • 新颖性: ⭐⭐⭐⭐⭐ 语义分区嵌入+三态检测在水印领域开辟了全新的验证粒度
  • 实验充分度: ⭐⭐⭐⭐ 对抗三种伪造攻击和五种常规扰动,定性case study清晰,但数据集规模未详述
  • 写作质量: ⭐⭐⭐⭐⭐ 理论证明完整,框架描述清晰,图示直观
  • 价值: ⭐⭐⭐⭐ 解决了语义感知水印的核心脆弱性,但极端几何变换的局限降低了独立部署的可靠性