前言 :最近,我们关于AI生成图像溯源 的综述《Source Attribution of AI-Generated Images: a Principled Survey 》预印本已经发布在 Zenodo(链接🔗:https://zenodo.org/records/20814592):。我们从生成模型、任务定义、统计框架、归因粒度、方法范式、数据集、实验分析和未来挑战等多个角度,对 AI 生成图像来源溯源进行了系统梳理。希望这篇文章能为关注以下方向的研究者提供一个清晰入口:
* AI-generated image forensics
* synthetic image attribution
* source verification
* multimedia security
* generative AI provenance
* trustworthy generative AI
PS: 当前版本为预印本,尚未完成正式期刊同行评审。欢迎大家阅读、交流和提出建议。本篇博客对该综述进行简要介绍,感兴趣的伙伴欢迎阅读论文全文。
目录
-
- 研究背景
- 综述范围
- 从生成模型理解溯源线索
- 统一框架:把溯源看作统计决策问题
-
- [任务一:Source Identification](#任务一:Source Identification)
- [任务二:Source Verification](#任务二:Source Verification)
- 溯源粒度:模型级还是架构级?
- 方法范式
-
- [1. Direct Attribution Methods](#1. Direct Attribution Methods)
- [2. Reference-based Attribution Methods](#2. Reference-based Attribution Methods)
- [Attribution Evidence:从 fingerprint 到 learned representation](#Attribution Evidence:从 fingerprint 到 learned representation)
- 数据集与评估范式
- 实验分析:探究当前方法的能力边界
- 未来挑战
研究背景
随着生成式AI的发展,AI生成图像已经越来越真实,也越来越容易被大规模传播。过去,多媒体取证中的核心问题通常是:这张图像是真实的,还是AI生成的? 但在虚假新闻、身份伪造、版权侵权、恶意传播和内容治理等实际场景中,仅仅判断真假已经不够,我们还需要进一步追问:这张AI生成图像来自哪里?
这正是 synthetic image attribution 所关注的问题。它不仅关心图像是否为AI生成,还希望进一步判断图像来自哪个生成模型、哪个模型架构,或者验证它是否来自某个声明的生成源。例如:
- 图像是否来自某个候选生成器?
- 它更可能由哪个模型或模型家族生成?
- 如果测试图像来自未知模型,系统能否拒绝错误归因?
- 不同生成模型是否会留下可区分的生成痕迹?
因此,来源溯源可以被看作从 synthetic image detection 到更细粒度 generative source attribution 的进一步扩展,对于多媒体取证、模型责任追踪、知识产权保护和可信生成式AI都具有重要意义。
综述范围
本文聚焦于 passive / post-hoc synthetic image attribution,即不依赖主动水印、不修改生成过程,而是从图像本身残留的生成痕迹中推断来源。
与 proactive watermarking 不同,passive attribution 更适合处理现实中已经传播的图像,因为分析者通常无法控制生成模型,也无法提前在图像中嵌入标识信息。
同时,本文主要关注完全生成图像的来源溯源,不把局部人脸篡改、视频deepfake或多模型复合编辑流程作为主要讨论对象。
从生成模型理解溯源线索
在正式讨论溯源方法之前,本文先回顾了常见生成模型家族,包括:
- VAE 与 normalizing flow;
- GAN;
- autoregressive model;
- diffusion model。
这些模型的生成机制不同,因此可能留下不同类型的来源痕迹。例如,GAN可能产生与上采样结构、卷积结构或训练过程相关的统计痕迹;diffusion model 的图像则可能包含与去噪轨迹、采样过程、网络结构或VAE解码器相关的模型特定特征。
因此,来源溯源不是简单地寻找"假图像共有缺陷",而是要分析不同生成源在图像中留下的差异化痕迹。
统一框架:把溯源看作统计决策问题
本文的核心贡献之一,是从统计数据分析的角度统一理解 SIA 任务。
具体来说,来源溯源可以被看作两类问题:
-
Classification problem
即 source identification:给定一张图像,从候选生成源中判断它来自哪个 source。
-
Hypothesis testing problem
即 source verification 或 same-source verification:判断图像是否来自某个声明源,或者判断两张图像是否来自同一生成源。
这种统一视角有助于澄清不同任务之间的关系,也避免把所有方法都简单混在"多分类溯源"里讨论。
任务一:Source Identification

Source identification 关注的是:给定一张 query image,判断它来自哪个候选生成源。
在 closed-set setting 中,测试图像一定来自已知候选源,任务可以直接建模为多分类问题。
在 open-set setting 中,测试图像可能来自训练阶段未知的生成器。因此系统不仅要识别已知 source,还要在图像来自未知 source 时拒绝归因。这一点非常重要,因为真实世界中的生成模型不断更新,未知生成器是常态。
任务二:Source Verification

Source verification 关注的是:给定一张图像和一个声明源,判断该图像是否真的来自这个 source。
这类任务更适合模型所有权验证、内容责任追踪和可疑生成源确认。例如,当有人声称某张图像由某个模型生成时,系统需要输出 accept 或 reject,而不是在所有候选源中强行选择一个。
此外,本文还讨论了 same-source verification,即判断两张图像是否由同一个 source 生成。这为开放环境下的图像聚类、源一致性分析和未知生成器发现提供了基础。

溯源粒度:模型级还是架构级?

来源溯源还必须明确"归因到多细"。
Model-level attribution 把每个具体模型实例看作不同 source。例如,不同 checkpoint、不同随机种子、不同训练数据或不同 fine-tuned version 都可能被视为不同来源。
Architecture-level attribution 则关注更粗粒度的模型架构或模型家族。例如,即使两个模型使用不同训练数据或不同随机种子,只要它们属于同一架构,就应被归为同一类。
这一区分非常关键。模型级溯源需要捕捉细粒度的实例差异,而架构级溯源则要求方法忽略实例变化,保留跨实例稳定的架构痕迹。
方法范式
根据任务类型、先验知识、任务设置和溯源粒度,接下来我们就可以进行方法设计。

如下图所示,本文将现有方法进一步归纳为两类主要范式。

1. Direct Attribution Methods
Direct attribution 方法直接从 query image 中提取来源判别特征,并输出 source score、predicted source 或 verification score。这类方法通常需要在训练阶段使用 source-wise training images,将来源知识编码到模型参数中。推理时,只需输入 query image,模型即可直接给出预测。
其优点是推理高效、形式清晰,适合 closed-set identification。缺点是当新生成器不断出现时,模型往往需要重新训练或增量更新;在 open-set 场景下,也容易把未知 source 错误归到某个已知类。
2. Reference-based Attribution Methods
Reference-based attribution 方法不完全依赖一个固定分类器,而是保留显式的 source-associated references,例如参考图像、fingerprint、prototype、centroid、gallery embedding 或重构结果。推理时,系统把 query image 与候选 source 的 references 放到某个 comparison space 中比较,再根据相似度或兼容性完成 identification 或 verification。
这类方法更容易扩展到新 source:当新生成器出现时,可以通过增加参考样本或参考表示来更新系统。但它也依赖 reference set 的质量、覆盖度以及 comparison space 是否真正保留了来源痕迹,而不是被图像语义内容主导。
Attribution Evidence:从 fingerprint 到 learned representation


本文还从 attribution evidence 的角度梳理了现有方法。许多 passive attribution 方法的核心假设是:生成模型会在图像中留下某种稳定的 forensic trace 或 fingerprint。
这些证据可能来自:
- 像素域残差;
- 频域或DCT特征;
- 噪声残差和高通滤波响应;
- patch-level 统计;
- 深度网络中间层表示;
- CLIP / DINOv2 等预训练视觉特征;
- latent recovery 或 reconstruction error;
- 生成模型内部激活或解码器痕迹。
不同证据适合不同任务。低层痕迹可能更敏感于模型实例差异,但也更容易受到压缩、模糊、缩放等后处理破坏;高层表示可能更稳健,但也可能混入语义信息,导致来源特征与内容特征纠缠。
数据集与评估范式

本文也系统总结了现有 SIA 数据集,并指出:数据集不等于 benchmark。
一个数据集只是提供图像和来源标签,而一个真正的 benchmark 还需要明确:
- 任务是 identification 还是 verification;
- 设置是 closed-set 还是 open-set;
- 归因粒度是 model-level 还是 architecture-level;
- 训练、验证、测试如何划分;
- 是否包含未知生成器;
- 是否包含真实图像;
- 是否考察JPEG压缩、resize、blur等后处理;
- 使用哪些评价指标。
如果不同论文使用不同数据划分、不同生成器集合和不同评价指标,那么结果很难直接比较。因此,建立统一、任务感知、粒度清晰的 benchmark 是该领域未来的重要方向。
实验分析:探究当前方法的能力边界
本文还对代表性方法进行了统一条件下的实验分析,覆盖 identification 和 verification 两类任务,并在 OSMA 与 LiuBench 等数据集上考察 closed-set、open-set 和鲁棒性表现。
一个重要结论是:closed-set 场景下,许多方法已经可以取得较高准确率;但当进入 open-set、跨生成模型家族、真实图像分布变化或后处理扰动场景时,性能会明显受影响。
这说明,当前 SIA 方法在受控条件下已经取得了较大进展,但距离真实部署仍存在差距。尤其是 unknown generator rejection、robustness、score calibration 和 cross-distribution generalization,仍然是关键挑战。
未来挑战
本文最后总结了几个值得继续研究的方向:
- 构建无偏、粒度感知的数据集与benchmark:需要更清楚地控制 source label、模型版本、训练数据、prompt、后处理和生成流程。
- 发展 granularity-aware attribution:方法需要明确自己是在做模型级溯源,还是架构级溯源,不能只报告一个混合标签上的分类准确率。
- 提升 open-set 可靠性:真实场景中未知生成器不可避免,系统必须具备可靠拒绝能力,而不是强行归因到已知类别。
- 增强鲁棒性和跨分布泛化能力:图像经过压缩、缩放、模糊、平台转码后,来源痕迹可能被削弱或改变。未来方法需要对这些变化更加稳健。
- 实现可扩展、数据高效的溯源系统:随着生成器数量快速增长,未来系统不能依赖为每个新模型重新训练大规模分类器,而应支持 few-shot、reference-based、incremental 或 retrieval-based 的扩展机制。