明尼苏达大学统计学院推出的"ADD"水印技术：让每张AI图片都有独一无二的"身份证"

这项由明尼苏达大学统计学院主导的研究以预印本形式发布于2026年4月，编号为arXiv:2604.11491v1，归类于机器学习领域（stat.ML）。有兴趣深入阅读的读者可以通过该编号在arXiv平台检索完整论文。

**当图片开始"说谎"，我们需要一个防伪码**

随着AI图像生成技术的飞速发展，现在任何人只需敲几个字，就能在几秒钟内生成一张以假乱真的高清照片。这种能力固然令人叹为观止，却也带来了令人忧虑的现实问题：网络上充斥着越来越多难以辨别真假的图片，从名人的伪造照片到精心捏造的"新闻图片"，普通人几乎无从分辨。

这就提出了一个迫切的需求：有没有办法给每一张图片打上一个看不见的"防伪码"，就像人民币上的水印一样，既不影响图片本身的观感，又能在需要验证时被可靠地读取？

这个领域叫做"图像水印"。其中最实用的一种叫做"多比特水印"，它不只是简单地标记"这张图片有水印"，而是能把一段完整的信息——比如是谁生成了这张图片、什么时候生成的、通过哪个账号生成的——悄悄地藏进图片的像素里，日后随时可以读取。

然而现有的多比特水印技术存在明显短板：要么信息容量太小，要么图片稍微经过处理（比如压缩、旋转、调色）之后水印就被破坏读不出来，要么运行速度太慢，实际部署困难。明尼苏达大学的研究团队针对这些痛点，提出了一种名为ADD（Add, Dot, Decode，即"加法、点积、解码"）的全新方法，在容量、抗干扰能力、速度和理论保证四个维度上同时取得了显著突破。

---

一、为什么现有的水印技术总是"掉链子"

在理解ADD的创新之处之前，有必要先了解一下这条赛道上已有的"选手"们各自的局限。

最古老的一类图像水印技术，是直接修改图片的像素值，或者在图片的频率信号上做手脚——就像在一张纸上用隐形墨水写字一样。这类方法实现简单，但问题是一旦图片遭受稍微严重的压缩或裁剪，这些修改就会被破坏殆尽，就像隐形墨水遇到水就会晕开一样。更麻烦的是，这类方法往往只能标记"有没有水印"，而无法携带更丰富的身份信息。

深度学习时代兴起之后，研究者们开始训练神经网络来做水印嵌入和解码，让机器自己学习"如何藏、如何找"。这类方法的性能确实比传统方法强了不少，但它们有两个共同的弱点：一是在面对各种各样的图片处理操作时，鲁棒性（也就是"抗干扰能力"）依然不够稳定；二是大多数方法只能处理32比特以下的信息量，超过这个上限之后性能就会急剧下降，而且这些方法几乎都缺乏严格的数学理论支撑，不清楚为什么有时候管用、有时候不管用。

还有一类针对特定AI模型（比如扩散模型、自回归模型）专门设计的水印方案，虽然在特定场景下表现出色，但它们和特定的模型架构绑定在一起，换一种模型就完全失效，灵活性极差。

这些现有方法的集体缺陷，构成了这项研究所要解决的核心问题。

---

二、一张水印"菜谱"：ADD的设计思路

ADD的核心思想可以用一个直觉非常清晰的比喻来理解。

假设你有一首歌，歌里有很多不同的乐器轨道。现在你想偷偷加入一段只有你自己知道的独奏旋律，让听众几乎察觉不到，但你日后随时可以用专用的滤波器把这段旋律单独提取出来。这段旋律就是"水印"，提取它的工具就是"解码器"。

ADD的工作分为两个阶段。第一阶段是"学习水印"——通过对大量图片进行训练，找到一组特殊的"纹路"（水印向量），这组纹路需要满足三个条件：嵌入之后图片看起来几乎和原图一样；能够携带最多48比特的信息；即使图片经过压缩、旋转、噪点处理之后，这组纹路还能被顺利读取。

第二阶段是部署，分为嵌入和解码两步。嵌入的方式极其简单：把48比特的消息（比如"+1, -1, +1, +1, ..."这样的序列）乘以对应的水印纹路，然后把结果直接加到原图上。解码的方式同样简单：用保存下来的水印纹路，分别和待验证的图片做"内积"运算（通俗来说就是计算两个向量的"相似度得分"），根据每个得分的正负就能判断对应的比特是+1还是-1。

这种"加法嵌入、内积解码"的设计，使得嵌入和解码的计算量极小，这正是ADD在速度上碾压竞争对手的根本原因。

---

三、水印是如何被"训练"出来的

上面说到要"找到一组特殊的纹路"，但这个纹路是怎么找到的呢？这是ADD方法的核心技术所在。

研究团队设计了一个训练目标函数，这个函数同时考虑了三件事。第一件事是图像质量：水印纹路的幅度不能太大，否则会让图片产生肉眼可见的失真。为此，函数中加入了一个惩罚项，专门约束水印向量的大小——就像规定厨师加入的调味品不能超过一定量，否则会盖过菜肴本身的味道。

第二件事是可识别性：嵌入水印之后，解码器能否准确还原每一个比特的消息？训练过程中，研究者会随机生成各种各样的消息（+1和-1的随机组合），把它们嵌入图片，然后检查解码器能不能正确还原——就像厨师反复试做，每次用不同比例的食材，看看成品是否达到预期口感。具体来说，这里使用了一种叫做"基于边距的损失函数"的数学工具，它的作用是让正确消息对应的内积得分尽量高，而错误消息对应的得分尽量低，从而让判断的边界更加清晰。

第三件事是抗干扰能力：训练过程中，每次计算损失之前，研究者会先对水印图片随机施加一种图片处理操作（比如JPEG压缩、高斯模糊、随机旋转等），然后再检查处理后的图片是否还能正确解码。这就像在试验新菜谱时，刻意模拟各种意外情况（火候过大、食材变质），确保菜肴在各种条件下都能保持水准。

实际实现时，研究团队没有在原始的高维像素空间（对于256×256的RGB图片来说，维度高达约196,608）里直接优化，而是先用一个预训练好的特征提取器把图片压缩成低维的特征向量，再通过一个可训练的映射网络生成对应的水印向量。训练完成之后，把所有训练图片的水印向量取平均，得到一组固定的水印向量，供后续部署使用。

---

四、深藏功与名的数学原理：为什么ADD能奏效

研究团队不满足于仅仅展示实验结果，他们还深入探究了ADD背后的数学原理，这也是本文区别于大多数工程性水印工作的重要特色。

整个理论建立在一个关于自然图像的基本假设之上：高维空间中的自然图像，实际上都集中分布在一个低维的"平面"附近，就像虽然地球是三维的，但地图上的城市几乎都分布在二维的地表上，偶尔有一点高低起伏（用数学语言说就是"Gaussian噪声"）。这个假设在经验研究中有大量证据支持，该论文也在补充材料中提供了实证验证。

基于这个假设，研究团队证明了：通过上述训练目标学到的水印向量，会自然地"躲开"这个低维图像平面，落在与之垂直的空间里。更进一步，代表不同消息比特的多个水印向量之间，彼此也是相互垂直的。

这两个"垂直"性质为什么重要？可以用这样一个比喻来理解。把图片想象成一张白纸，纸面代表图像数据集中分布的低维平面。水印向量则像一根垂直插在纸面上的细针。当一张未加水印的图片（在纸面上）与这根针做内积时，因为它们方向垂直，得分接近于零；而当一张已经加了水印的图片（向针的方向稍微"抬起"了一点）做同样的运算时，得分就会明显不为零，从而可以可靠地检测出水印的存在。

至于不同比特对应的水印向量之间相互垂直，则确保了在读取某一个比特时，其他比特对应的水印不会干扰结果——就像调音台上的多个独立旋钮，调节某一个旋钮的音量完全不会影响其他旋钮，各司其职。

基于这些几何性质，研究团队还推导出了水印检测和解码的最优规则。检测是否存在水印时，最好的方式是把所有比特对应的内积得分的绝对值加总，如果总和超过某个阈值就判定"有水印"；解码某个比特时，只需看对应的内积得分是正数还是负数即可。这两个规则都来自严格的统计推断（广义似然比检验），而不是凭直觉或经验拍脑袋想出来的。

进一步地，研究团队还证明了：当训练样本数量趋于无穷时，用有限样本训练出的水印向量的各种性质（垂直性、模长稳定性），以及相应检测和解码的误报率、正检率、比特准确率，都会收敛到用无限数据训练出的"理想水印"的对应指标。换句话说，随着训练数据越来越多，ADD的表现会越来越接近理论最优。

---

五、当"字典"参与进来：更聪明的检测方式

ADD还提供了一种更强大的进阶模式：当验证者手头有一份"消息字典"（也就是系统中所有曾经嵌入过的消息的集合）时，可以利用这份字典大幅提升检测和解码的准确率。

具体做法是：把字典里的每一条消息，都和图片的内积得分向量做一次"相似度计算"（内积），找出得分最高的那条消息作为解码结果，同时用这个最高分作为是否存在水印的判据。

从数学上来说，这个策略之所以更强，是因为它缩小了搜索空间。假设整个消息空间有2的48次方（约280万亿）种可能，但字典里只有1万条消息，那么搜索范围就缩小了极其悬殊的倍数，自然更不容易出错。研究团队还给出了一个理论结论：只要字典里任意两条消息之间的"汉明距离"（即彼此不同的比特数）足够大，字典辅助解码的准确率就会高于不用字典的情况，而且字典的可允许大小可以随信息长度K呈指数增长。

---

六、实验验证：数字说话

研究团队在广泛使用的图像基准数据集MS-COCO上进行了全面的实验评测。MS-COCO包含约11.8万张涵盖各种真实场景和物体的图片，是计算机视觉领域最重要的标准测试集之一。所有图片被统一调整为256×256像素的RGB格式，消息长度设为最具挑战性的48比特。

评测指标覆盖三个维度：图像质量用PSNR（峰值信噪比，单位dB，越高越好）衡量；检测能力用AUROC（接收者操作特征曲线下面积，越接近100%越好）衡量；解码能力用比特准确率（正确解码的比特占比，越接近100%越好）衡量。同时，评测涵盖了九种常见的图像处理操作：不做任何处理、高斯模糊、JPEG压缩、亮度调整、对比度调整、高斯噪点、旋转、裁剪和随机擦除。

对比方法包括三种：DwtDct（传统频域方法，被著名的Stable Diffusion图像生成模型采用）、HiDDeN（深度学习水印的经典代表）、SSL（通过内积解码的自监督水印方法，与ADD的解码思路最为接近）。

解码准确率方面，ADD在所有九种情况下都达到了最高的比特准确率，平均高达99.4%，而三种对比方法的平均准确率分别只有59.8%、82.5%和84.9%。其中最能体现ADD优势的是面对旋转操作：SSL在旋转下的比特准确率只有54.7%（几乎等于瞎猜的50%），而ADD依然保持98.8%的高准确率。类似地，面对高斯噪点，ADD达到99.9%，而HiDDeN只有50.5%，几乎完全失效。

图像质量方面，ADD的PSNR为32.36 dB，与HiDDeN（32.88 dB）和SSL（33.09 dB）处于同一档次，而传统方法DwtDct虽然PSNR较高（37.22 dB），但它的解码性能极差，高画质的代价是几乎没有实用价值的水印。从肉眼观察来看，ADD处理后的图片在视觉上与原图高度相似，难以区分。

检测性能方面，ADD在有无字典的两种模式下都表现出色：无字典模式的平均AUROC为98.8%，有字典辅助时进一步提升到99.6%，均显著优于其他方法。值得注意的是，其他三种方法在不使用字典时根本无法直接检测水印，必须借助字典才能运作，而ADD天然支持两种模式。

---

七、速度优势：简单就是快

除了准确率，ADD在运算速度上的优势同样令人印象深刻，原因也直接：它的嵌入操作本质上只是一次向量加法，解码操作本质上只是一次内积计算，这两种运算都属于计算机最擅长的基础线性代数操作。

实测数据（在同一块NVIDIA A100 GPU上，处理相同的1000张图片）显示，ADD的嵌入速度为每张图片0.76毫秒，而最快的竞争对手HiDDeN需要1.54毫秒，SSL更是需要546.50毫秒。解码速度上，ADD每张仅需0.19毫秒，而HiDDeN需要1.41毫秒，SSL需要6.50毫秒。换算下来，ADD的嵌入速度是最快竞争对手的约2倍，解码速度则是最快竞争对手的约7.4倍。在需要大规模处理图片的实际部署场景中，这种速度差异会转化为巨大的成本优势。

---

八、泛化能力：一次训练，走遍江湖

ADD的另一个实用优势是泛化能力强。研究团队用2000张MS-COCO的训练图片训练了一套水印向量之后，直接把它应用到三个完全不同的测试集上：ImageNet（超大规模通用图像数据集）、CIFAR-10（10类常见物体的小图集）和CIFAR-100（100类物体的小图集）。

结果显示，ADD在所有域外数据集上的表现依然优秀：平均比特准确率最低为99.27%（CIFAR-100），AUROC最低为98.93%（ImageNet）。值得一提的是，CIFAR-10和CIFAR-100的原始图片尺寸只有32×32像素，在应用ADD之前需要上采样到256×256，这一过程会让图片变得更平滑，因此PSNR数值比MS-COCO更高，这是正常现象而非异常。

这种跨数据集的稳健表现，说明ADD学到的水印向量并不是针对特定图片域的过拟合，而是捕捉到了更具普遍性的图像统计规律。

---

九、调节旋钮：β和训练样本数的影响

研究团队还系统地研究了两个关键超参数对ADD性能的影响，这部分内容既有实用价值，也与理论分析形成了呼应。

正则化参数β控制着水印幅度的约束强度。β越大，水印向量被压缩得越小，嵌入的改动越细微，图片质量越好（PSNR越高），但相应地内积得分的"信噪比"也越小，解码准确率就会下降。β越小则相反，解码更准确，但图片改动更明显。实验结果清晰地展示了这种权衡：当β从1增加到10000时，PSNR从约32 dB稳步上升到约33.5 dB，而平均比特准确率则从约99.6%逐渐降低到约98.6%。这与理论预测完全吻合。

训练样本数n的影响则主要体现在解码准确率上。当n很小（如10到20张）时，解码准确率只有93%到95%，但随着n增加，准确率迅速提升：n=500时已接近99%，n=2000时达到约99.4%。与此同时，PSNR在n超过500之后基本保持稳定，不受样本数增加的影响。这一现象印证了有限样本理论的预测：更多的训练数据让有限样本目标函数更接近总体目标函数，使学到的水印向量更接近理论最优的几何结构。

---

十、技术的边界与未来

任何技术都有其适用范围和尚待完善之处，ADD也不例外。

从技术本身来看，理论分析中关于"低维线性子空间加高斯扰动"的图像数据假设，是一个简化模型，真实的自然图像分布远比这复杂——它更接近一个弯曲的流形而非一个线性平面。不过研究团队提供了实证证明这个假设在预训练特征空间中是合理的近似。此外，训练时使用的失真模拟（比如模拟JPEG压缩、高斯噪点等）在涵盖范围上是有限的，对于训练中未见过的极端攻击手段，ADD的鲁棒性有待进一步验证。

从应用场景来看，研究团队指出了两个值得探索的未来方向。其一是跨模态扩展：目前ADD专注于图像，但文字、音频、视频都有类似的水印需求，如何把ADD的思路迁移到这些模态，需要针对各模态的特点做相应调整。其二是多实体协同场景：本文假设只有一个水印机制在运作，但现实中可能有多个不同实体各自部署水印系统，如何在这种情况下高效地分配消息空间、防止冲突、实现跨系统的内容溯源，是一个值得深入研究的制度设计问题。

---

说到底，ADD这项研究做的事情，是把一个工程实践问题——给AI生成的图片打上可靠的隐形身份标识——同时从"能不能做到"和"为什么能做到"两个维度给出了令人信服的回答。在技术不断进步、AI生成内容愈发泛滥的当下，这类可追溯、可验证的内容认证工具，正在从"锦上添花"变成"不可或缺"。当然，技术只是工具，如何在现实世界中建立起完善的内容溯源生态，还需要技术、法律、产业各方的共同努力。有兴趣深入了解ADD方法的读者，可以通过arXiv编号2604.11491查阅完整论文。

---

Q&A

Q1：ADD水印嵌入之后图片会变形或失真吗？

A：ADD嵌入水印的方式是在原图上叠加一个幅度很小的水印向量，叠加量受到正则化参数β的严格控制。在论文的实验设置中，处理后图片的PSNR约为32.36 dB，与其他深度学习水印方法（如HiDDeN的32.88 dB）处于同一水平，肉眼几乎无法察觉差异。β越大，改动越小，图片质量越好，但解码准确率会相应下降，存在一个可调节的质量-性能权衡。

Q2：ADD水印在图片被裁剪或旋转之后还能读取吗？

A：ADD通过在训练阶段模拟多种图片处理操作（包括裁剪、旋转、JPEG压缩、高斯模糊等）来增强鲁棒性。实验结果显示，即使在旋转操作下，ADD依然能保持98.8%的比特准确率，在裁剪操作下达到99.8%，均远高于其他对比方法。当然，如果处理强度超出训练时模拟的范围，性能可能会有所下降。

Q3：ADD的48比特消息能存储哪些实际信息？

A：48比特相当于约281万亿种不同的编码组合，足以唯一标识极大数量的用户或内容。实际应用中可以将这48比特用于编码用户ID、时间戳、IP地址、数字签名等标识信息的组合，具体编码方案由部署方自行设计，ADD本身只负责可靠地嵌入和解码这串比特序列，不规定信息的语义含义。