"AI Watermarking" คืออะไรกันแน่ — และทำไมมันถึงยากกว่าที่ฟังดู
เมื่อกฎหมาย EU AI Act กำหนดให้ผู้ให้บริการต้องทำเครื่องหมายเนื้อหาที่สร้างขึ้นในรูปแบบ “ที่เครื่องอ่านได้… และตรวจจับได้ว่าเป็นสิ่งที่สร้างขึ้นโดยปัญญาประดิษฐ์” กฎหมายฉบับนี้จงใจไม่ระบุว่าต้องทำอย่างไร กฎหมายกำหนดข้อบังคับ ไม่ใช่เทคโนโลยี ในทางปฏิบัติ ข้อบังคับนี้ถูกตอบสนองโดยระบบเทคนิคจริงเพียงไม่กี่ระบบที่พัฒนากันมาหลายปี แต่ละระบบมีความสามารถจริงและมีจุดอ่อนเฉพาะตัวที่มีการบันทึกไว้อย่างละเอียด แนวทางหลักมีอยู่สองแบบ คือมาตรฐานเมทาดาทาที่เซ็นรับรองด้วยการเข้ารหัส อย่าง Content Credentials ของ C2PA และสัญญาณที่มองไม่เห็นซึ่งฝังตรงลงในพิกเซลหรือข้อความ อย่าง SynthID ของ Google DeepMind การเข้าใจว่าแต่ละแบบทำงานอย่างไรจริง ๆ — และที่สำคัญกว่านั้นคือ แต่ละแบบล้มเหลวอย่างไร — คือความแตกต่างระหว่างการคิดเอาเองว่าป้าย “มีลายน้ำ” หมายถึงอะไรบางอย่างที่คงทน กับการเข้าใจอย่างชัดเจนว่ามันรับประกันอะไรได้บ้างและไม่ได้บ้าง
สองสิ่งที่แตกต่างกันแต่ถูกเรียกว่า “ลายน้ำ” เหมือนกัน
คำนี้ถูกใช้อย่างหลวม ๆ แต่สองแนวทางหลักแก้ปัญหาด้วยวิธีที่แทบจะตรงข้ามกัน Content Credentials ของ C2PA จะแนบบันทึกที่เซ็นรับรองไว้ — ใครเป็นคนสร้างเนื้อหานี้ ใช้เครื่องมืออะไร มีการแก้ไขอะไรเกิดขึ้นบ้างนับจากนั้น — เป็นชุดข้อมูลแยกต่างหากที่เดินทางไปพร้อมกับไฟล์ ส่วนลายน้ำเชิงสถิติอย่าง SynthID ไม่ได้แนบอะไรแยกต่างหากเลย มันจะรบกวนค่าพิกเซลจริง ๆ หรือค่าความน่าจะเป็นในการเลือก token ตั้งแต่ตอนที่สร้างเนื้อหา ทำให้ “เครื่องหมาย” นี้แยกออกจากตัวเนื้อหาไม่ได้เลย แบบแรกใกล้เคียงกับใบรับรองที่ผ่านการรับรองเอกสารแล้วเย็บติดกับเอกสาร ส่วนแบบหลังใกล้เคียงกับลายเซ็นที่ทอเข้าไปในเนื้อกระดาษ ทั้งสองแบบถูกเรียกว่าลายน้ำ แต่แทบไม่มีอะไรที่เหมือนกันอีกเลย รวมถึงวิธีที่มันล้มเหลวด้วย
Content Credential ถูกแนบเข้าไปได้อย่างไรจริง ๆ
C2PA — หรือ Coalition for Content Provenance and Authenticity ซึ่งได้รับการสนับสนุนจากองค์กรสมาชิกกว่า 6,000 แห่ง รวมถึง Adobe, Google, Microsoft, Amazon, Meta, Sony, BBC, OpenAI และ Truepic — กำหนดขั้นตอนการทำงานไว้สามขั้น “claim generator” (ซอฟต์แวร์หรือฮาร์ดแวร์) จะรวบรวมชุดข้อความยืนยัน (assertion) เกี่ยวกับเนื้อหา เช่น อุปกรณ์ที่ใช้บันทึก เครื่องมือแก้ไขที่ใช้ manifest ก่อนหน้าที่เนื้อหานี้สืบทอดมา ข้อความยืนยันเหล่านี้จะกลายเป็น “claim” ซึ่งจะถูกเซ็นด้วยกุญแจส่วนตัวของผู้สร้างในรูปแบบ COSE โดยมีใบรับรอง X.509 จากหน่วยงานออกใบรับรองที่เชื่อถือได้รับรองอีกชั้นหนึ่ง ชุดข้อมูลที่เซ็นแล้ว — manifest — จะถูกบรรจุลงใน JUMBF container และฝังลงในไฟล์ กลายเป็นสิ่งที่แบรนด์ที่ผู้ใช้ทั่วไปรู้จักเรียกว่า Content Credential นั่นคือไอคอน “cr” เล็ก ๆ ที่คุณอาจเคยเห็นที่มุมภาพ ซึ่งเมื่อกดเข้าไปจะเปิดแผงข้อมูลที่แสดงว่าสร้างขึ้นเมื่อไร แก้ไขอะไรบ้าง และใครเป็นคนเซ็นรับรอง ที่สำคัญคือ ห่วงโซ่นี้ถูกออกแบบมาให้อยู่รอดผ่านการแก้ไขที่ถูกต้องตามกฎ — หากเครื่องมือที่รองรับมาตรฐานนี้เปิดภาพที่มี Content Credential แก้ไข แล้วเซ็นรับรองใหม่ manifest ใหม่จะสามารถอ้างอิงถึง manifest เดิมได้ กลายเป็นประวัติที่ตรวจสอบย้อนกลับได้ แทนที่จะลบมันทิ้ง

ปัญหา: manifest อยู่ในไฟล์ ไม่ได้อยู่ในภาพ
C2PA มีวิธีผูก manifest เข้ากับไฟล์อยู่สองแบบ และแบบที่แข็งแกร่งกว่าก็เปราะบางกว่าด้วยเช่นกัน “hard binding” คือค่าแฮชเชิงการเข้ารหัสของไบต์ทั้งหมดในไฟล์แบบเป๊ะ ๆ หากมีการเปลี่ยนแม้แต่ไบต์เดียว — ไม่ว่าจะบีบอัดใหม่ ปรับขนาด หรือบันทึกใหม่เป็นฟอร์แมตอื่น — ค่าแฮชจะไม่ตรงกันอีกต่อไป ทำให้การตรวจสอบล้มเหลว นี่คือความตั้งใจในการออกแบบ เพื่อใช้ตรวจจับการปลอมแปลง แต่ก็หมายความว่าการจัดการไฟล์แบบปกติที่ไม่มีเจตนาร้ายเลย เช่น แพลตฟอร์มเข้ารหัสไฟล์ที่อัปโหลดใหม่เพื่อประหยัดแบนด์วิดท์ หรือแอปบันทึกไฟล์ใหม่ด้วยคุณภาพที่ต่ำลง ก็สามารถทำลายการผูกนี้ได้ไม่ต่างจากการแก้ไขที่มีเจตนาร้าย ส่วน “soft binding” ซึ่งได้มาจากลายนิ้วมือเชิงการรับรู้ (perceptual fingerprint) ของเนื้อหา แทนที่จะเป็นไบต์ดิบ จะทนทานกว่า และสามารถช่วยให้ค้นหา manifest กลับมาได้ผ่านบริการค้นหา (lookup service) แม้ว่าสำเนาที่ฝังไว้จะถูกลบไปแล้วก็ตาม — แต่มันเป็นการรับประกันที่อ่อนกว่า และขึ้นอยู่กับว่าโครงสร้างพื้นฐานสำหรับการค้นหานั้นมีอยู่จริงและถูกเรียกใช้งานจริงหรือไม่ และยังมีอีกรูปแบบความล้มเหลวที่ไม่ต้องใช้เครื่องมือแก้ไขใด ๆ เลย นั่นคือการแคปหน้าจอ การแคปหน้าจอไม่ได้คัดลอกไบต์ของไฟล์หรือ JUMBF container ที่ฝังอยู่ในนั้นเลย มันจะเรนเดอร์พิกเซลใหม่ผ่าน graphics stack ของระบบปฏิบัติการ และสร้างภาพใหม่ทั้งหมดที่ไม่มีร่องรอยของเมทาดาทาไฟล์ต้นฉบับหลงเหลืออยู่เลย นอกจากนี้ยังมีแนวปฏิบัติที่รู้กันดีของแพลตฟอร์มใหญ่ ๆ ที่ลบเมทาดาทา EXIF และ XMP ออกจากไฟล์ที่อัปโหลดโดยอัตโนมัติ ด้วยเหตุผลด้านความเป็นส่วนตัวและแบนด์วิดท์ที่มีมาก่อนเรื่องนี้เสียอีก ทำให้ credential ที่อิงกับ container มีหนทางธรรมดา ๆ หลายทางที่จะหายไปได้ โดยไม่ต้องมีใครพยายามซ่อนอะไรเลย
ฝังสัญญาณลงไปในตัวเนื้อหาโดยตรง
แนวทางที่สองมีอยู่ก็เพื่อให้อยู่รอดจากสิ่งที่ทำให้แนวทางแรกล้มเหลวโดยเฉพาะ SynthID และระบบที่คล้ายกันจะฝังสัญญาณเชิงสถิติที่มนุษย์รับรู้ไม่ได้ลงในค่าพิกเซลโดยตรงระหว่างการสร้างภาพหรือวิดีโอ หรือลงในความน่าจะเป็นของการเลือก token ระหว่างการสร้างข้อความ — ไม่ใช่การแนบมาข้าง ๆ เนื้อหา แต่กระจายอยู่ทั่วเนื้อหานั้นเอง เพราะสัญญาณนี้เดินทางไปพร้อมกับข้อมูลภาพหรือข้อความจริง ๆ แทนที่จะอยู่ใน container แยกต่างหาก มันจึงถูกออกแบบมาให้ทนต่อการครอป ปรับขนาด บีบอัดใหม่ แปลงฟอร์แมต และ — ต่างจาก manifest แบบเมทาดาทา — ทนต่อการแคปหน้าจอได้ด้วย เพราะพิกเซลที่ถูกจับภาพไว้ยังคงมีการรบกวนนั้นติดอยู่ ขนาดของการใช้งานจริง ณ กลางปี 2026 นั้นไม่ใช่เรื่องเล็ก ๆ Google ระบุว่า SynthID ได้ทำลายน้ำให้กับเนื้อหาไปแล้วกว่า 1 หมื่นล้านชิ้น และตอนนี้เปิดใช้งานเป็นค่าเริ่มต้นใน Gemini, Imagen, Veo และ Lyria และตั้งแต่เดือนพฤษภาคม 2026 OpenAI ได้ร่วมมือกับ Google เพื่อฝัง SynthID ลงในภาพจาก ChatGPT, DALL·E, Codex และ OpenAI API โดยมี Kakao และ ElevenLabs เข้าร่วมด้วยเช่นกัน และกำลังขยายการใช้งานไปยัง Search และ Chrome
ทนทานไม่ได้แปลว่าทำลายไม่ได้
ข้อแลกเปลี่ยนคือ การตรวจสอบลายน้ำเชิงสถิตินั้นไม่ใช่การตรวจสอบเชิงการเข้ารหัสแบบใช่/ไม่ใช่ที่ใครก็ทำซ้ำได้เอง แต่ต้องส่งเนื้อหาผ่านตัวตรวจจับ (detector) ซึ่งมักเป็นระบบปิดที่ควบคุมโดยผู้ให้บริการ และผลลัพธ์ที่ได้คือระดับความมั่นใจ ไม่ใช่ความแน่นอน คือ มีอยู่ ไม่มี หรือไม่แน่ใจ การต้องพึ่งพา detector แบบกล่องดำนี้คือจุดอ่อนแรก จุดอ่อนที่สองคือตัวสัญญาณเองก็ถูกโจมตีตรง ๆ ได้ ลายน้ำในข้อความอย่าง SynthID-Text ถูกพิสูจน์แล้วว่าสามารถถูกทำลายได้ด้วยการเขียนใหม่ (paraphrasing) โดยมีรายงานว่าการโจมตีที่ซับซ้อนสามารถกดความแม่นยำของการตรวจจับลงมาใกล้เคียงกับการเดาสุ่มได้ สำหรับภาพ การโจมตีแบบ “diffusion regeneration” — คือการเข้ารหัสภาพลงใน latent space ใส่สัญญาณรบกวน (noise) แล้วสร้างภาพขึ้นใหม่ผ่านกระบวนการ reverse-diffusion — จะได้ผลลัพธ์ที่มนุษย์มองแล้วเหมือนกับภาพเดิมทุกประการ แต่ไม่มีสัญญาณเชิงสถิติดั้งเดิมติดอยู่อีกต่อไป และนี่ไม่ใช่เรื่องสมมติทางทฤษฎี เพราะมีเครื่องมือโอเพนซอร์สที่มีการดูแลรักษาอย่างต่อเนื่อง สร้างขึ้นมาเพื่อลบ SynthID, C2PA credential และป้าย EXIF/XMP ที่ระบุว่า “สร้างด้วย AI” ออกจากภาพโดยเฉพาะ เปิดให้ใช้งานสาธารณะอยู่แล้วจริง ๆ และยังมีข้อแลกเปลี่ยนเชิงวิศวกรรมที่หลีกเลี่ยงไม่ได้แฝงอยู่ในทั้งหมดนี้ นั่นคือ การทำให้ลายน้ำทนทานต่อการโจมตีมากขึ้น มักจะทำให้คุณภาพผลลัพธ์ลดลงอย่างเห็นได้ชัด และยังไม่มีระบบใดในปัจจุบันที่แก้ปัญหานี้ได้อย่างสมบูรณ์ ผู้ให้บริการจึงปรับให้ทนทานในระดับที่สมเหตุสมผลต่อการใช้งานทั่วไป ไม่ใช่ต้านทานสูงสุดต่อผู้โจมตีที่ตั้งใจจริง
ช่องว่างที่ทั้งสองแนวทางปิดไม่ได้
ทั้งสองระบบมีข้อจำกัดร่วมกันอยู่หนึ่งอย่างที่ไม่เกี่ยวอะไรกับการครอปหรือการเขียนใหม่เลย นั่นคือ การทำลายน้ำเป็นเรื่องที่ต้อง “เลือกเข้าร่วม” ในระดับซอฟต์แวร์ และมันจะทำเครื่องหมายได้เฉพาะผลลัพธ์จากระบบที่เลือกจะติดตั้งฟีเจอร์นี้เท่านั้น เครื่องมือสร้างเนื้อหาแบบรันในเครื่อง (local) ที่เป็น open-weight สามารถเลือกไม่ใส่โค้ดทำลายน้ำเข้าไปได้เลย และไม่มีอะไรไม่ว่าจะเป็นฟอร์แมตไฟล์ กฎหมาย หรือกฎฟิสิกส์ของสถานการณ์ ที่จะทำให้เครื่องหมายปรากฏขึ้นในเนื้อหาที่ตัวสร้างไม่เคยเขียนมันลงไปตั้งแต่แรกได้ นี่คือดาบสองคมสำหรับใครก็ตามที่พยายามใช้เครื่องหมายเหล่านี้เป็นสัญญาณของความน่าเชื่อถือ การไม่มี credential หรือลายน้ำที่ตรวจจับได้ ไม่ใช่หลักฐานว่าเนื้อหานั้นไม่ได้สร้างด้วย AI และการมีเครื่องหมายที่ถูกต้องอยู่ ก็ไม่ใช่หลักฐานว่าเนื้อหานั้นถูกต้อง ได้รับอนุญาต หรือถูกแสดงในบริบทดั้งเดิมของมัน — ภาพถ่ายจริงที่ผ่านการแก้ไขจริง ๆ และเซ็นรับรองอย่างถูกต้องในทุกขั้นตอน ก็ยังสามารถทำให้เข้าใจผิดได้อยู่ดี credential พิสูจน์ได้แค่ห่วงโซ่การครอบครอง (chain of custody) ไม่ใช่ความซื่อสัตย์ Code of Practice ของ AI Office แห่งสหภาพยุโรปเองก็ยอมรับเรื่องนี้โดยอ้อม ด้วยการกำหนดแนวทางแบบหลายชั้น — เมทาดาทา ลายน้ำที่มองไม่เห็น และการบันทึกล็อกไปพร้อมกัน — แทนที่จะสนับสนุนกลไกใดกลไกหนึ่งเพียงอย่างเดียว เพราะหน่วยงานกำกับดูแลที่ร่างแนวทางเชิงเทคนิคนี้เองก็รู้ดีว่าไม่มีชั้นใดชั้นหนึ่งที่ครอบคลุมทุกรูปแบบความล้มเหลวได้ด้วยตัวเอง
แล้วข้อกำหนดเรื่องการติดฉลากบังคับใช้ได้จริงหรือไม่
ตรงนี้แหละที่ภาพรวมเชิงเทคนิคเชื่อมโยงกลับไปที่ภาพรวมเชิงกฎหมาย ข้อบังคับเรื่องการทำเครื่องหมายที่เครื่องอ่านได้ตามมาตรา 50(2) ของ EU AI Act นั้นตรวจสอบได้จริงที่ต้นทาง หน่วยงานกำกับดูแลหรือผู้ตรวจสอบสามารถตรวจได้ว่าระบบสร้างเนื้อหาแนบ manifest สัญญาณที่มองไม่เห็น หรือทั้งสองอย่างในขณะที่สร้างเนื้อหาหรือไม่ และผู้ให้บริการก็จะผ่านหรือไม่ผ่านเกณฑ์นั้นอย่างชัดเจน — ส่วนนี้ของกฎหมายมีอำนาจเชิงเทคนิคที่แท้จริง แต่สิ่งที่กฎหมายทำไม่ได้ คือการรับประกันว่าเครื่องหมายนั้นจะยังอ่านได้บนสำเนาใด ๆ ของเนื้อหาที่ในที่สุดไปถึงผู้ชม หลังผ่านการแชร์ต่อสามครั้ง แคปหน้าจอสองครั้ง และบีบอัดใหม่อีกหนึ่งครั้ง ไม่มีส่วนใดของกฎระเบียบที่ไปได้ไกลถึงขนาดนั้น เพราะไม่มีเทคโนโลยีพื้นฐานตัวไหนไปได้ไกลถึงขนาดนั้นเช่นกัน และนั่นไม่ใช่ความผิดพลาดในการร่างกฎหมาย แต่เป็นการสะท้อนอย่างตรงไปตรงมาว่าระบบเหล่านี้ทำอะไรได้และทำอะไรไม่ได้ นั่นไม่ได้แปลว่าข้อบังคับนี้ไร้ความหมาย โลกที่เนื้อหา AI ส่วนใหญ่มีสัญญาณที่ตรวจจับได้ตั้งแต่วินาทีที่เผยแพร่ แม้จะไม่สมบูรณ์แบบ ก็ยังเป็นจุดเริ่มต้นที่ดีกว่าอย่างมีนัยสำคัญสำหรับแพลตฟอร์มและนักวิจัยที่กำลังสร้าง pipeline การตรวจจับ เมื่อเทียบกับสภาพที่แทบไม่มีการทำเครื่องหมายใด ๆ เลยเมื่อไม่กี่ปีก่อน แต่มันก็หมายความว่าการตีความคำว่า “มีลายน้ำ” หรือ “ติดฉลากแล้ว” อย่างสมเหตุสมผล ไม่ใช่ “สิ่งนี้รับประกันว่าตามรอยได้” แต่เป็น “สิ่งนี้ถูกทำเครื่องหมายไว้ตอนที่มันถูกสร้างขึ้น ส่วนเครื่องหมายนั้นจะรอดมาถึงคุณหรือไม่นั้น เป็นอีกคำถามหนึ่งที่เทคโนโลยีนี้ไม่เคยถูกออกแบบมาให้ตอบได้อย่างแน่นอนตั้งแต่แรก”
รายละเอียดด้านกฎระเบียบและเทคนิคข้างต้นสะท้อนข้อมูลที่เปิดเผยต่อสาธารณะ ณ กลางเดือนกรกฎาคม 2026 — โปรดตรวจสอบข้อกำหนดและสเปกล่าสุดก่อนตัดสินใจใด ๆ ที่ขึ้นอยู่กับข้อมูลนี้ บทความนี้เป็นข้อมูลทั่วไป ไม่ใช่คำแนะนำทางกฎหมายหรือด้านการปฏิบัติตามข้อกำหนดทางเทคนิค