Google SynthID: Behaupteter Wasserzeichen-Hack ist nur ein halber Treffer

Ein Entwickler unter dem Pseudonym Aloshdenny behauptet, Googles SynthID-Wasserzeichen durch simple Signalverarbeitung rekonstruiert und teilweise entfernt zu haben – ohne neuronale Netze, ohne proprietären Zugang. Sein Code ist öffentlich auf GitHub, die Methode dokumentiert auf Medium. Google widerspricht der Kernbehauptung: „Es ist falsch zu sagen, dieses Tool könne SynthID-Wasserzeichen systematisch entfernen", erklärte Google-Sprecherin Myriam Khan gegenüber The Verge.

Das eigentliche Ergebnis des Experiments ist differenzierter: Aloshdenny generierte 200 vollständig schwarze Bilder über Googles Bildgenerator, verstärkte Kontrast und Sättigung, mittelte die sichtbar werdenden Muster und extrahierte so Frequenz und Phase des eingebetteten Signals. Das Verfahren macht die Wasserzeichen-Struktur sichtbar – entfernt sie aber nicht vollständig. Was es leistet: den SynthID-Detektor zu verwirren, nicht das Wasserzeichen zu löschen. „Das Beste, was ich hinbekommen habe, war den Decoder so zu verwirren, dass er aufgibt – nicht das Ding tatsächlich zu löschen", schreibt Aloshdenny selbst. SynthID ist dabei kein Sicherheitssystem, das Unzerbrechlichkeit verspricht – es soll die Kosten für Missbrauch hoch genug halten, dass die meisten Akteure nicht den Aufwand treiben. Diesen Anspruch erfüllt es laut aktuellem Stand noch.

Für Unternehmen, die KI-generierte Inhalte in der Kommunikation einsetzen, ändert der Vorfall wenig am Status quo: SynthID ist eine Lage in einem mehrschichtigen Provenienz-System, das sinnvollerweise mit Standards wie C2PA kombiniert wird. Seit Januar 2026 ist SynthID zudem in Google Workspace für die Deepfake-Erkennung in E-Mails und Dokumenten integriert. Im Kontext des EU AI Act, dessen Hauptteil zu Hochrisiko-KI ab August 2026 greift, bleibt technische Wasserzeichnung ein anerkanntes, aber kein hinreichendes Mittel zur Transparenzpflicht bei KI-generierten Inhalten.