自 2024 年 10 月起,Google 已对所有 Gemini 用户的输出进行水印处理 —— 覆盖 2000 万用户,无可感知的质量损失,且可通过算法检测。OpenAI 已有可工作的原型,仅需数百个 token 即可产生可靠的信号。Anthropic 表示已列入路线图。欧盟《AI 法案》第 50 条要求涵盖范围内的提供商以机器可读格式标记 AI 生成的内容。然而:一种每百万 token 成本仅 0.88 美元的攻击,能同时对七种最新水印方案实现约 100% 的规避成功率。
这就是 LLM 文本水印的真实现状。已部署的方案、论文的声明与攻击者的实际能力之间的差距,远比大多数团队意识到的要大 —— 而你对水印的工程决策,很大程度上取决于你站在这个差距的哪一边。
模型的输出曾经只是一个字符串。到 2026 年 8 月,它将变成一个带有监管链清单的签名制品(signed artifact),任何将其视为普通字符串的团队都将在截止日期的压力下进行补救式改造。
这种说法听起来可能有些戏剧化,直到你读到《欧盟人工智能法案》(EU AI Act)第 50 条。该条款将于 2026 年 8 月 2 日全面实施,要求生成式系统产生的任何合成内容都必须能被机器检测为 AI 生成。2026 年 3 月发布的《行为准则》(Code of Practice)明确指出,单一的标记技术是不够的——提供商必须将元数据嵌入(C2PA)与不可见水印结合起来,且输出内容必须在裁剪、压缩和截图等常见转换操作后依然存续。不合规的罚金高达 1,500 万欧元或全球营业额的 3%。这不仅仅是一个标签指南;这是一个签名制品的强制指令,它将落在每一个向欧盟市场发布生成式功能的团队头上。
我是 Tian Pan,一名工程师型创始人,专注于智能体工程——构建自主 AI 系统并扩展工程团队。我撰写关于系统设计、技术领导力和 AI 智能体实战的实用指南。曾在 Uber、Brex 和 IoTeX 担任早期工程师。
