Google vermarktet SynthID seit 2023 als unsichtbares Wasserzeichen, das jedes von Gemini generierte Bild, jeden Audioschnipsel und jede Textausgabe als synthetisch markiert. Der Entwickler Alosh Denny hat das Verfahren fuer die Bildvariante nun allein mit Signalverarbeitung rueckentwickelt und unter dem Namen reverse-SynthID auf GitHub veroeffentlicht. Das Repository enthaelt Detektor, Codebook und ein CLI, das die Wasserzeichen entfernt. Auf Hacker News sorgt der Fund fuer eine kontroverse Diskussion: legitime Forschung, Bypass-Werkzeug oder beides?

Was SynthID sein soll

Google DeepMind beschreibt SynthID als neuronales Watermarking, bei dem ein Encoder ein kaum wahrnehmbares Rauschmuster in das Bild einbettet und ein Decoder dieses Muster selbst nach JPEG-Kompression, Resizing oder Farbanpassung wiederfinden kann. Die Technik wurde 2024 auf Audio und Text ausgeweitet und ist Teil der Google-Antwort auf die Provenance-Debatte rund um C2PA, Adobe Content Credentials und OpenAI-interne Watermarks.

Der Reverse-Engineering-Ansatz

Denny hatte weder Zugriff auf den Encoder noch auf Decoder-Gewichte. Stattdessen nutzte er einen rein spektralen Angriff. Er generierte mit Nano Banana Pro jeweils rund 100 vollstaendig schwarze und 100 vollstaendig weisse Bilder, indem er Gemini anwies, eine monochrome Vorlage "genau so" zu rekonstruieren. In solchen Ausgaben besteht fast der gesamte Pixelinhalt aus dem Wasserzeichen selbst, weil das Nutzsignal trivial ist. Per FFT wandelt er die Bilder in den Frequenzraum und sucht nach Positionen mit auffaellig hoher Phasenkoheraenz ueber alle Samples hinweg.

Das zentrale Ergebnis: Das Wasserzeichen sitzt auf einer festen Menge von Traegerfrequenzen mit identischer Phase in allen Bildern desselben Modells. Der gruene Farbkanal traegt das staerkste Signal, die Kreuzkoheraenz an den Traegern liegt bei ueber 99,5 Prozent. Ueber Kreuzvalidierung zwischen Schwarz- und Weissreferenzen (|cos(phase_diff)| > 0.9) filtert Denny Generierungs-Biases heraus. Die Traeger-Positionen sind aufloesungsabhaengig: Bei 1024x1024 liegen sie bei niedrigen Frequenzen wie (9,9), bei 1536x2816 bei hochfrequenten Positionen wie (768, 704). Denny speichert daher pro Aufloesung ein eigenes Profil in einem SpectralCodebook.

Ergebnisse und Grenzen

Das Tool kennt drei Bypass-Generationen. V1 ist ein Baseline-Angriff per JPEG-Kompression bei Qualitaet 50, V2 kombiniert Rauschen, Farbverschiebungen und Frequenzfilter. Die eigentliche Leistung ist V3: eine mehrpassige, phasengewichtete Subtraktion der bekannten Traegerfrequenzen im FFT-Raum, mit Per-Kanal-Gewichten (Gruen 1,0; Rot 0,85; Blau 0,7) und Sicherheits-Cap bei 90 bis 95 Prozent der Bin-Energie. Auf 88 Gemini-Testbildern erreicht V3 laut README einen mittleren PSNR von 43,5 dB, SSIM 0,997, einen Energieabfall der Traeger um 75,8 Prozent und einen Drop der Phasenkoheraenz an den Top-5-Traegern um 91,4 Prozent.

Wichtig ist die Einschraenkung: Denny testet ausschliesslich gegen seinen eigenen, rueckgebildeten Detektor, nicht gegen Googles offizielles SynthID-Endpoint. Mehrere Hacker-News-Kommentatoren weisen darauf hin, dass Google mit hoher Wahrscheinlichkeit mindestens ein zweites, nicht oeffentlich testbares Wasserzeichen vorhaelt, das auf Strafverfolgungsanfragen reagiert. Der Bypass ist also ein Bypass gegen das Beobachtbare -- nicht zwingend gegen das, was Google intern abpruefen kann.

Warum Watermarking strukturell fragil bleibt

Das Ergebnis bestaetigt eine aeltere Intuition aus dem DRM-Diskurs. Jedes Wasserzeichen, das unter Resize und Kompression ueberleben soll, muss Energie auf stabilen, vorhersagbaren Stellen ablegen. Sobald diese bekannt sind, lassen sie sich gezielt angreifen. C2PA vermeidet das Problem, indem es nicht auf unsichtbare Signale setzt, sondern auf kryptografisch signierte Metadaten -- um den Preis, dass sich die Signatur durch einfachen Re-Export entfernen laesst. SynthID und C2PA sind zwei Seiten desselben Dilemmas: Detektoren erwischen nur kooperierendes Material, und die interessanten Faelle sind genau jene, in denen nicht kooperiert wird.

Fuer die EU-Regulierungsdebatte ist das unangenehm. Der AI Act verpflichtet Anbieter zur maschinenlesbaren Kennzeichnung synthetischer Medien, ohne das Detektionsproblem zu loesen. Die EU-Kommunikationslinie, die in offiziellen Mitteilungen komplett auf KI-Bilder verzichtet, ist deshalb konsequenter als jeder Watermark-basierte Ansatz. Auch Content-Moderation wie Moonbounce wird Watermarking nicht als alleiniges Eingangssignal nutzen koennen.

Einordnung fuer 2026

Dennys Repository ist kein vollstaendiger Break, aber auch mehr als eine Fingeruebung. Es zeigt, dass ein einzelner Entwickler ohne Insider-Zugriff in wenigen Wochen genug ueber das System lernen kann, um es oeffentlich zu rekonstruieren und ein pip-installierbares Entfernungswerkzeug zu liefern. Wer Disinformation ernsthaft betreibt -- ein staatlicher Akteur wie im iranischen Lego-Propaganda-Fall oder eine professionalisierte Einflussoperation -- kann dieselbe Methodik mit mehr Ressourcen wiederholen. Die Schutzwirkung von SynthID ist damit auf den gutglaeubigen Anteil des Oekosystems beschraenkt.

Die HN-Kritik trifft das Repository an zwei Stellen zu Recht. Erstens fehlt ein Test gegen Googles echten Detektor, was die "90 Prozent Detection Rate" nur in der eigenen, geschlossenen Welt gueltig macht. Zweitens ist die Verpackung ambivalent: Ein Projekt, das sich als Research bezeichnet, aber ein CLI mit Stufen aggressive und maximum ausliefert, kann den Hinweis "nicht fuer Missbrauch" schwer glaubwuerdig halten. Die spektrale Kernerkenntnis -- aufloesungsabhaengige Traeger mit stabiler Phase im gruenen Kanal -- bleibt dennoch der substantielle Teil.

Quellen

• aloshdenny/reverse-SynthID -- GitHub
• Hacker News Diskussion zum Repository
• Google DeepMind: SynthID
• SynthID Paper, arXiv:2510.09263
• Content Authenticity Initiative / C2PA