生成模型的水印通常有两种做法:改输出(在生成的图片上加肉眼不可见的信号)或改权重(在模型参数里嵌入标识)。但两种都不完美——改输出可以被后处理破坏,改权重可以通过微调洗掉。Wang 在这篇论文中提出了第三种思路:把水印直接嵌进生成过程的连续动态里——流动匹配模型的速率场。
流动匹配模型的工作方式是学习一个从噪声到数据的连续路径。在训练时,你教模型一个速率场——每个点应该沿着哪个方向运动才能最终到达目标分布。Wang 在训练时给这个速率场加了一个密钥依赖的微扰。这个微扰的设计保证了最终生成的分布不变——也就是说,加了水印的模型生成出来的图片和没加水印的模型在统计上不可区分。但在检测时,从黑盒查询中恢复这个微扰模式就可以解码出水印信息。
这相当于把水印从"静态的印记"变成了"动态的行为特征"。你想去掉水印就必须破坏模型生成数据的动态过程本身,而不仅仅是清除输出层或微调权重。
在 MNIST 和 CIFAR-10 上,不同架构的测试结果都支持三点:水印信息可以可靠恢复、生成质量没有下降、没有密钥的情况下解码准确率等于随机猜测。
不清楚的地方:黑盒查询恢复信息需要多少次采样?对于高分辨率图像或视频生成,速率场的维度更高,水印的鲁棒性是否仍然保持?如果攻击者用蒸馏或者迁移学习来复制模型的生成行为(而不直接访问速率场),动态水印是否仍然有效?
---
参考文献
1. Wang, S. (2026). *Dynamics-Level Watermarking of Flow Matching Models with Random Codes*. arXiv:2605.16239 [cs.LG].
2. Lipman, Y., et al. (2023). *Flow Matching for Generative Modeling*. ICLR.
3. Koh, J. Y., et al. (2025). *Watermarking in the Age of Generative AI*. Communications of the ACM.