文章总结： 复旦大学张新鹏团队联合蚂蚁集团在AAAI发表GenPTW框架研究，首次在潜空间统一实现AIGC图像溯源追踪与篡改定位，支持内生与后置场景即插即用适配主流扩散模型无需修改参数。技术突破包括跨注意力融合嵌入策略、篡改感知提取器及基于JND的视觉质量损失函数，在PSNR39.56、篡改定位F10.97、水印提取准确率96.93%等性能指标上表现优异，精准契合国家AI生成内容标识政策要求。 综合评分： 85 文章分类： AI安全,安全建设,数据安全,应用安全,漏洞分析

复旦大学计算与智能创新学院多媒体智能安全团队在AIGC水印方向研究取得新进展

信息网络安全杂志

2026年2月5日 17:00 上海

近日，复旦大学计算与智能创新学院张新鹏团队联合蚂蚁集团相关研究人员，在人工智能领域国际顶会Annual AAAI Conference on Artificial Intelligence（AAAI，CCF A类国际学术会议）发表研究论文《GenPTW: Latent Image Watermarking for Provenance Tracing and Tamper Localization》。该工作提出了首个在潜空间中统一溯源追踪（Provenance Tracing）与篡改定位（Tamper Localization）的通用图像水印框架GenPTW，同时支持内生与后置场景。在内生场景中，GenPTW可以即插即用地适配主流潜空间扩散模型和自回归模型，且无需修改原始生成模型的参数。为AIGC内容的安全治理提供了创新性技术方案，有效回应了 “谁生成、是否被篡改、篡改何处”的核心行业痛点。

01

研究背景：AIGC 爆发式增长下的内容安全挑战

图像生成模型正以前所未有的速度演进，能够生成高度逼真、视觉冲击力强的图像，并可以灵活编辑图像，正在重塑视觉内容的创作流程。然而，这种令人惊艳的生成和编辑能力是一把双刃剑，带来了内容滥用、版权归属模糊与篡改检测困难等一系列安全风险。这些风险本质上指向两个核心诉求：

(1)   内容溯源：是谁创作生成的，属于谁？

(2)   完整性验证：有没有被篡改，哪里被改动了？

然而现有解决方案存在明显局限：传统图像水印方法多聚焦版权保护，难以精准定位篡改区域；生成后嵌入的范式与生成过程脱节，部署复杂且易被移除；现有内生水印方案则局限于特定模型，通用性和扩展性不足，难以适配多样化的生成式AI生态。

图1 GenPTW的内容溯源与篡改定位场景

与此同时，国家网信办等四部门联合发布的《人工智能生成合成内容标识办法》已于9月1日正式施行，明确要求所有AI生成的文字、图片、视频等内容必须“亮明身份”。在此背景下，开发兼具溯源能力、篡改定位能力与实际落地性的技术方案，成为AIGC安全治理领域的迫切需求。

02

核心创新：GenPTW 框架的三大关键技术突破

GenPTW框架的核心优势在于“通用适配、双任务统一、高保真强鲁棒”，其通过在潜特征解码路径插入轻量级水印插件，实现了多尺度潜特征的水印注入，提取阶段则通过篡改感知提取器集成水印提取与篡改定位功能，无需修改原始生成模型参数，可即插即用地适配主流潜空间扩散模型和自回归模型，同时支持内生（生成阶段嵌入）与后置（生成后嵌入）场景。

图2 GenPTW整体框架图

图3 GenPTW效果展示

(1) 跨注意力融合与空间融合的自适应水印嵌入策略

跨注意力融合模块基于潜空间特征完成水印自适应嵌入，空间融合模块将水印以空间提示的形式广播到高分辨率潜特征上。

(2) 篡改感知提取器

在篡改感知提取器中，水印提取和篡改定位共享特征提取器，篡改定位分支联合水印特征与图像高频特征实现精准的篡改定位，使两个任务相辅相成。

(3) 基于JND的视觉质量损失函数

相较单一的内容溯源方案，GenPTW 不可避免地嵌入更多信息。为保持视觉质量，利用人类视觉恰可感知差（Just-Noticeable Difference）构建修改代价矩阵，并据此设计视觉质量损失函数。

03

研究贡献与性能验证：数据彰显技术优势

图4 GenPTW局部定位和抵抗全局编辑效果展示

1. 统一内容溯源与篡改定位：提出首个潜空间嵌入统一内容溯源与篡改定位的通用图像水印框架GenPTW，适配主流图像生成模型，即插即用；
2. 自适应嵌入与篡改感知提取：设计一种自适应水印嵌入和空间融合策略，并提出篡改感知提取器，实现鲁棒的水印提取与精准的篡改定位；
3. 高保真与强鲁棒性验证：在内生场景下PSNR达到39.56，局部AIGC篡改下定位F1达到 0.97，全局AIGC编辑下水印提取准确率达96.93%。

04

应用价值与团队愿景：赋能 AIGC 可信生态构建

GenPTW 框架面向真实互联网平台与产业应用场景，为 AIGC 内容安全治理提供了兼具技术先进性与落地可行性的解决方案。其不仅在技术层面为隐式标识的溯源追踪与篡改取证提供了可行路径，更精准契合《人工智能生成合成内容标识办法》的政策要求，为 “亮明 AI 生成身份” 提供了技术支撑，对构建安全、可信、可追溯的生成式人工智能内容生态具有重要意义。

张新鹏教授领导的复旦大学计算与智能创新学院多媒体智能安全团队，长期围绕生成模型的安全可控与内容可信问题开展研究，形成了覆盖生成阶段、传播阶段与事后取证的系统性研究框架，持续推进 AIGC 内容溯源与篡改取证的前沿研究。本论文张新鹏教授为通信作者，23级直博生甘振良为第一作者，研究得到国家自然科学基金项目的支持。

全文链接：

https://arxiv.org/pdf/2504.19567

复旦大学计算与智能创新学院

往期精彩回顾

芯片安全漏洞难检测？看西工大“抽象四次方”如何破解芯片安全难题

信息网络安全

《信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。

中文核心期刊

中国科技核心期刊

中国科学引文数据库来源期刊

CCF计算领域高质量科技期刊

我们在不断努力和完善中，期待您的关注和支持！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息网络安全杂志 《复旦大学计算与智能创新学院多媒体智能安全团队在AIGC水印方向研究取得新进展》