Алгоритм Stable Signature от Meta не работает: исследование показало ошибку 1 на 4 вместо 1 на миллион

Исследователь Neil Kandalgaonkar провел эмпирическое тестирование алгоритма Stable Signature от Meta, предназначенного для встраивания невидимых водяных знаков в изображения. Meta утверждает, что алгоритм кодирует 48-битную последовательность с вероятностью ошибки менее 1 на миллион при использовании расстояния Хэмминга в 7 бит. Однако тестирование на выборке из 10 000 изображений (май 2026) показало катастрофические результаты. Вместо ожидаемого равномерного распределения исследователь обнаружил: 25 изображений с идентичной битовой последовательностью; кластер из 450 изображений в пределах 6 бит Хэмминга, что составило 4,5% выборки; более 60 кластеров с 10+ изображениями каждый. Математический анализ с использованием NIST Statistical Test Suite подтвердил: статистика хи-квадрат составила 7632,28 (p < 10^-100), что не соответствует случайному распределению. Корень проблемы: нейросеть Meta обучена так, что генерирует зависимые, а не независимые биты, что создает пиковые структуры (аттракторы) в пространстве признаков вместо равномерного распределения. При расстоянии Хэмминга 6 вероятность ошибки возросла до 1 на 4, что делает алгоритм практически непригодным для надежной идентификации контента.

Ключевые факты

  • Meta обещает ошибку <1 на миллион, но практика показывает 1 на 4 при Хэмминге=6
  • 450 изображений из 10000 дали одинаковую битовую сигнатуру, вместо ожидаемого равномерного распределения
  • Проблема: нейросеть создает кластеры (аттракторы) вместо независимых битов
  • Стандартный хи-квадрат тест отвергает случайность (χ² = 7632, p≈0)
  • Результат: водяной знак Stable Signature не может надежно идентифицировать контент Meta

Почему это важно

Алгоритмы встраивания невидимых водяных знаков критичны для проверки авторства контента и защиты от подделок, особенно с ростом синтетических изображений, создаваемых AI. Meta позиционирует Stable Signature как решение, которое работает со своей системой генерации изображений. Однако исследование показало, что алгоритм имеет в 250 000 раз более высокую вероятность ошибки, чем заявлено. Это означает, что надежность этого инструмента для различения оригинальных и AI-генерированных изображений радикально переоценена.

Кому это важно

Результаты касаются: (1) пользователей Meta (Facebook, Instagram, WhatsApp), которые полагаются на встроенные системы проверки подлинности; (2) разработчиков, интегрирующих Stable Signature в свои системы; (3) регуляторов и платформ, требующих разметки AI-контента; (4) исследователей в области криптографии и водяных знаков; (5) обладателей авторских прав, нуждающихся в надежных механизмах защиты контента.

Как это применить

Если вы разрабатываете систему, требующую надежной идентификации контента (проверка авторства, защита от подделок), не полагайтесь на Stable Signature как на основной механизм, его практическая надежность на порядки ниже заявленной. Используйте многоуровневую стратегию: комбинируйте несколько независимых методов (цифровые подписи, контрольные суммы, метаданные). Если вы тестируете водяные знаки, проводите эмпирическое тестирование на реальных данных, а не полагайтесь только на теоретические гарантии, как показывает это исследование, разрыв может быть огромным.

Можно ли доверять

Анализ базируется на опубликованной исследовательской работе Meta (доступна на GitHub) и эмпирическом тестировании на выборке из 10 000 реальных изображений. Методология включает стандартный NIST Statistical Test Suite для проверки случайности. Однако важно учесть: (1) тестовая выборка из одного источника (FotoForensics, май 2026) может не полностью репрезентировать случаи использования Meta; (2) возможно, Meta использует Stable Signature не так, как описано в исследовании, или вообще не использует; (3) теоретический анализ зависимости битов остается открытым для обсуждения. Тем не менее, математическое доказательство распределения через хи-квадрат является строгим и воспроизводимым.

Риски и подводные камни

Главный риск, скрытая асимметрия: если вы полагаетесь на Stable Signature для критичных операций (подтверждение авторства в судебном порядке, блокировка контента, страховые выплаты), высока вероятность ошибок и исков. Вторая проблема: нейросетевые алгоритмы часто имеют скрытые структурные смещения, которые не видны в теоретическом анализе и выявляются только на масштабных эмпирических тестах. Третье: если Meta не использует собственный алгоритм в продакшене, выводы могут быть непрямо применимы. Четвертое: исследование ограничено черным ящиком (тестирование только выходов); внутренние параметры и обучающие данные недоступны.