Remove-AI-Watermarks 开源工具评测：AI 水印攻防战已开场 | 2026-05-21

一个能去掉 AI 水印的工具，在 HN 上炸了

上周二有个叫 remove-ai-watermarks 的开源工具登上了 Hacker News 首页。376 个赞，239 条评论，讨论区两边吵得很凶。

它能去掉 AI 生成图片上的水印。不管是 Gemini 右下角那个闪闪发光的星星 logo、谷歌的 SynthID 隐形水印，还是藏在 EXIF 和 C2PA 里的"Made with AI"标签，一条命令就能清掉。

怎么做到的

作者 wiltodelta 把水印分三层处理：

可见水印。谷歌 Gemini（内部代号 Nano Banana）在图片上叠了一个半透明的星星 logo。反过来算一下 alpha 通道就能还原，0.05 秒一张，CPU 就够了。这个思路来自 Allen Kuo 的 GeminiWatermarkTool。

隐形水印。SynthID 才是硬骨头。谷歌往图片里嵌了一种人眼看不见的频率信号，裁切、缩放、JPEG 压缩都洗不掉。这技术本身确实厉害。但 remove-ai-watermarks 的办法更暴力——用 SDXL 把图片编码到潜空间，加噪声，再重新生成，扩散过程把水印信号破坏掉，然后放大回原分辨率。代价是会损失细节，而且得用 GPU。

元数据。C2PA Content Credentials、EXIF 标签里记录 prompt 和 seed、XMP 的 DigitalSourceType 标记——社交平台就靠这些来判断要不要打"Made with AI"的标签。工具一键清掉，保留作者和版权信息。

还有个"Analog Humanizer"选项，往图片上加胶片颗粒和色差，让 AI 分类器以为这是翻拍屏幕的照片。

时间点太巧了

翻翻 HN 评论区会发现一条有趣的留言："这篇文章正好排在『OpenAI 采用 SynthID』那条新闻下面。"

同一天，OpenAI 宣布全面采用谷歌的 SynthID 水印标准，给 ChatGPT Images 2.0 和 DALL-E 3 的图片打上 C2PA + SynthID 烙印。Ars Technica 的报道提到，谷歌说 SynthID 已经标注了 1000 亿张图片和视频。

水印刚铺开，去除工具就来了。

HN 上两边吵什么

一派觉得这是好事——"我不希望我的每一步数字足迹都被打上条形码。"另一派认为这玩意儿在挖社会信任的墙角。

用户 akersten 说得挺准："水印只在加密方案保密的时候有效。把密文塞进高频噪声里是老新闻了。"

也有人质疑效果。Tiberium 指出 SDXL 重绘会丢细节，而且 Gemini 3 Pro 和 GPT Image 2 支持 4K 输出，SDXL 才 1024px 原生分辨率，根本不够用。另一个用户 Tacite 试了在线版 raiw.cc，水印检测只是从 Gemini 3（99.9%）变成了 Midjourney（64.7%）+ SDXL（16.1%），没完全洗掉。

法律层面

项目 README 里列了一堆法规。美国 COPIED Act 把"有意移除溯源信息以误导内容来源"定为违法。欧盟 AI Act 第 50 条要求在 AI 内容上标注，2026 年 12 月生效。中国《深度合成管理规定》要求强制标注。

作者没回避这些，直接摆出来让你自己判断。README 的威胁模型部分写得很直白：SynthID v2 嵌了一个 136 位的 payload，据信编码了用户/会话标识符。如果你曾经把原图传到谷歌的服务上，他们服务器端一直有记录。去掉你手里的这份副本上的水印，抹不掉谷歌那边的痕迹。

我怎么看

我挺矛盾的。

一方面，一个开源项目一周拿到 1100 个 GitHub star，说明很多人确实不信任科技公司给图片打烙印。"只要你能检测到的东西就能移除"——这个在密码学意义上基本没错。

另一方面，水印本来就不是防所有人的。它拦的是普通用户和自动化审核。真想作假的人总有办法。这个工具只是把门槛从"需要一个团队"降到了"pip install"。

我觉得更值得留意的是 OpenAI 选择 SynthID 这件事。几个月前大家还在吵该不该打水印，现在讨论已经变成"怎么破了"。这个行业变化的速度，比很多人想的要快。