#50 AIの電子透かしは平均するだけで消える

AIが生成した文章に埋め込む「電子透かし」は、複数のAIモデルの出力を平均するだけで簡単に消せてしまうことを理論と実験で証明し、その仕組みを効率的に実現する手法「WASH」を提案した研究。

ChatGPTのようなAIが書いた文章が、人間の文章と見分けがつかなくなってきました。学校のレポートやニュース記事が本物か、AI製かを判別する必要性が高まっています。その解決策として期待されているのが「電子透かし（ウォーターマーク）」です。これはAIが文章を作るときに、人間には気づかれない統計的な「クセ」をこっそり仕込んでおき、後から検出する技術です。

ただし、これまでの研究には大きな前提がありました。「攻撃者は1つのAIモデルしか使えない」という想定です。しかし現実には、私たちはGPT、Llama、Qwenなど10種類以上のAIに自由にアクセスできます。この「AIが選び放題」という当たり前の現実こそが、透かし技術の弱点になるのではないか——それがこの研究の出発点です。

核心となるアイデアは驚くほどシンプルです。透かしとは、AIが「次にどの単語を出すか」という確率分布を、本来の姿から少しズラすことで埋め込まれます。重要なのは、​各社が違う秘密鍵を使うため、このズラし方はバラバラ（独立）​ だという点です。

ということは、複数のAIに同じ質問をして、その出力確率を「平均」してやれば、バラバラなズレは打ち消し合って、元の透かしなしの分布が復元される——という理屈です。著者らはこれを数学的に証明し、モデル数Nを増やすほど誤差が 1/√N の速さで小さくなることを示しました。

ただし実装は簡単ではありません。AIごとに単語の区切り方（トークン化）が違うのです。たとえば「Gracious」をあるモデルは「Gr+acious」、別のモデルは「Gra+cious」と分けます。これでは確率の平均が取れません。そこで提案されたのが WASH です。単語の途中で区切り方が食い違ったら、その単語だけ対応できるモデルに任せて完成させる「流暢性を意識したルーティング」という仕組みで、この食い違いを解決しました。

効果は劇的でした。透かしの強さを示す「z スコア」（4を超えると検出されたとみなす指標）は、透かし入り単体では 5〜300 という非常に高い値でしたが、​わずか3つのモデルを平均しただけで 2 以下​（ほぼランダムと区別がつかないレベル）まで落ちました。完成済みの文章を検査する方式でも、検出成功率を 50% 未満に抑え込んでいます。

さらに注目すべきは、透かしを消すと同時に 文章の品質が約27.5%向上 し、しかも既存の最良手法と比べて 約6倍速い という点です。透かしは元々文章の質を少し下げるため、それを取り除くことで本来の性能が戻るわけです。

興味深い対照実験もあります。もし全モデルが「同じ」透かしを協調して入れた場合、平均化は通用せず、z スコアは高いまま残りました。つまり、弱点の本質は「各社がバラバラに透かしを入れている」ことにあると裏付けられました。

この研究は、「AI生成コンテンツの真贋判定」というビジネス課題に冷や水を浴びせる内容です。教育機関でのレポート不正検知、ニュースの真偽判定、著作権保護など、多くの分野が透かし技術に期待を寄せています。しかしこの論文は「複数のAIを使える環境では、透かしは原理的に消せてしまう」と示しました。

ビジネス的に重要なのは、これが「技術の未熟さ」ではなく「市場構造」に根ざした問題だという指摘です。AI業界は競争市場であり、各社が独自の秘密鍵を使う限り、透かしのズレは必ずバラバラになります。つまり、本当に頑健な検出を実現するには AI各社が業界横断で透かしの仕組みを標準化・協調する しかない、という結論になります。

これは、AI由来コンテンツの規制や認証ビジネスを考える人にとって示唆的です。「技術で何とかなる」のではなく、「企業間の協調や業界標準づくり」という、よりビジネス・政策寄りの解決が不可欠だと突きつけているからです。