通过简单的 JPEG 压缩实现图像的自我验证

在过去几年中，有关篡改图像所带来风险的担忧经常出现在研究中，尤其是在基于人工智能的图像编辑框架不断涌现的情况下，这些框架能够修改现有图像，而不是直接创建图像。

针对此类内容提出的检测系统大多分为两个阵营：第一个阵营是水印，一种内置于图像真实性框架中的后备方法，目前由内容来源和真实性联盟 (C2PA) 推广。

这些“秘密信号”随后必须对图像在社交网络、门户网站和平台之间传输时经常发生的自动重新编码/优化程序具有鲁棒性。但它们通常无法抵御通过JPEG 压缩应用的有损重新编码（尽管存在来自webp等伪装者的竞争，但估计74.5% 的网站图像仍使用 JPEG 格式）。

第二种方法是使图像防篡改，正如2013 年论文《基于不动点理论的图像完整性认证方案》中最初提出的那样。该方法不依赖水印或数字签名，而是使用一种称为高斯卷积和反卷积(GCD) 的数学变换，将图像推向稳定状态，一旦被篡改，图像就会被破坏。

图2：摘自论文《基于不动点理论的图像完整性认证方案》：使用峰值信噪比 (PSNR) 为 59.7802 dB 的定点图像进行篡改定位的结果。白色矩形表示受到攻击的区域。面板 A（左）显示应用的修改，包括局部噪声、滤波和基于复制的攻击。面板 B（右）显示相应的检测输出，突出显示了认证过程识别出的篡改区域。

这个概念在修补精致的花边布料时可能最容易理解：无论修补花边的工艺多么精细，修补过的部分都不可避免地会被辨认出来。

在灰度图像上反复应用这种变换，会逐渐将图像推向一种状态，在这种状态下再次应用变换不会产生进一步的变化。

这种稳定的图像版本被称为不动点。不动非常罕见，而且对变化高度敏感，对不动点图像的任何微小修改几乎都会破坏其固定状态，因此很容易检测到篡改行为。

与此类方法一样，JPEG 压缩产生的人工痕迹也会威胁到方案的完整性：

图3左侧图片中，我们看到标志性的“Lenna”（Lena）图像上添加了水印，在正常压缩下清晰可见。右侧图片中，在 90% 的 JPEG 压缩率下，我们可以看到感知到的水印与 JPEG 噪声的增长之间的区别正在减小。在多次重新保存或使用最高压缩设置后，大多数水印方​​案都会出现 JPEG 压缩伪影的问题。来源：https://arxiv.org/pdf/2106.14150

如果将 JPEG 压缩伪影作为获取不动点的核心手段呢？在这种情况下，就不需要额外的附加系统了，因为通常会给水印和篡改检测带来麻烦的机制，反而会成为篡改检测框架本身的基础。

作为安全基准的 JPEG 压缩

纽约州立大学布法罗分校的两位研究人员在一篇新论文中提出了这样一种系统。这篇题为《使用 JPEG 不动点的篡改验证图像》的新论文以 2013 年的工作和相关工作为基础，首次正式提出了其核心原则，并巧妙地利用 JPEG 压缩本身作为一种方法，从而有可能生成 “自我验证 ”图像。

作者进一步解释道：

“研究表明，经过几轮相同的 JPEG 压缩和解压缩过程后，图像不会发生变化。

“换句话说，如果将 JPEG 压缩和解压缩的单个循环视为图像的转换，称为 JPEG 变换，那么这种变换表现出具有固定点的属性，即在应用 JPEG 变换时图像保持不变。”

图 4 表示 JPEG 不动点收敛的示意图。上行展示了一张经过重复 JPEG 压缩的示例图像，每次迭代都显示了变化像素的数量和位置；下行则绘制了不同压缩质量设置下连续迭代之间的像素级 L2 距离。遗憾的是，目前还没有比这张图片更好的分辨率。来源：https://arxiv.org/pdf/2504.17594

新论文没有引入外部变换或水印，而是将 JPEG 处理过程本身定义为一个动态系统。在这个模型中，每次压缩和解压缩循环都会使图像向一个固定点移动。作者证明，经过有限次迭代后，任何图像都会达到或接近一个状态，进一步压缩不会产生任何变化。

这篇论文的核心观点是，JPEG 收敛不仅仅是其设计的副产品，更是其运算在数学上的必然结果。离散余弦变换、量化、舍入和截断共同构成一个变换，该变换（在适当的条件下）会产生一组可预测的不动点。

与水印不同，这种方法不需要嵌入信号。唯一的参考是图像本身在进一步压缩后的一致性。如果重新压缩后图像没有任何变化，则假定图像是真实的。如果有变化，则表明图像被篡改。

测试

作者使用一百万个随机生成的八位灰度图像数据块验证了这一行为。通过对这些合成块进行反复的 JPEG 压缩和解压缩，他们观察到在有限的步骤内收敛到一个固定点。通过测量连续迭代之间像素级的L2 距离来监控这一过程，差异逐渐减小，直到块稳定下来。

为了评估篡改检测，作者构建了防篡改 JPEG 图像，并应用了四种类型的攻击：椒盐噪声、复制移动操作、外部来源拼接以及使用不同量化表的双重 JPEG 压缩。

篡改后，使用原始量化矩阵重新压缩图像。通过识别重新压缩后显示出非零差异的图像块来检测不动点偏差，从而实现对篡改区域的检测和定位。

由于该方法完全基于标准的 JPEG 操作，因此不动点图像在普通的 JPEG 查看器和编辑器中也能正常工作；但作者指出，如果图像以不同的质量水平重新压缩，它就会失去不动点状态，从而破坏验证，因此在实际使用中需要谨慎处理。

虽然这不仅仅是一个分析 JPEG 输出的工具，但也不会增加太多复杂性。原则上，它可以被纳入现有的工作流程中，而且成本和干扰最小。

这篇论文承认，老练的对手可能会试图通过对抗性修改来保留不动点状态；但研究人员认为，这种努力很可能会引入可见的人工痕迹，从而破坏攻击。

虽然作者并没有声称定点 JPEG 可以取代 C2PA 等更广泛的出处系统，但他们认为不动点方法可以补充外部元数据框架，提供额外的篡改证据层，即使元数据被剥离或丢失也会持续存在。

结论

JPEG 不动点方法为传统的身份验证系统提供了一种简单且独立的替代方案，不需要嵌入元数据、水印或外部参考文件，而是直接从压缩过程的可预测行为中获取真实性。

通过这种方式，该方法重新利用了 JPEG 压缩（一个常见的数据质量下降的根源）作为完整性验证机制。就这一点而言，这篇新论文是我过去几年遇到的最具创新性和创造性的解决这个问题的方法之一。

这项新研究表明，安全措施正从分层附加组件转向利用介质本身的内在特性。随着篡改方法日益复杂，测试图像自身内部结构的技术可能将变得更加重要。

此外，许多为解决这一问题而提出的替代系统都引入了巨大的摩擦，因为它们需要改变长期建立的图像处理工作流程——其中一些工作流程已经可靠地运行了数年甚至数十年，需要更有力的理由进行重新调整。

作者：Martin Anderson，机器学习作家，人体图像合成领域专家。
译自：https://www.unite.ai/self-authenticating-images-through-simple-jpeg-compression/