21 kwietnia 2026 OpenAI uruchomił GPT Image 2. W ciągu kilku dni społeczność zaczęła dzielić się obserwacjami: w wielu generacjach pojawiały się powtarzalne wzory szumu, które dawało się wydobyć prostym przekrzywieniem krzywych w edytorze. Wróciło stare pytanie. Czy detekcja obrazów AI da się oprzeć o analizę szumu i pikseli? Odpowiedź jest taka, że czasem owszem, a czasem zupełnie nie, bo ta dziedzina ma już siedem lat, a nowsze modele coraz lepiej zacierają ślady. Pokażemy, co mówi literatura naukowa, jak słabo wypadają komercyjne detektory na świeżych modelach, dlaczego znakowanie wodne wygrywa z detekcją statystyczną. Na koniec wracamy do polskich firm i nadchodzącego EU AI Act, który zacznie obowiązywać 2 sierpnia 2026.
Co się stało po premierze GPT Image 2
GPT Image 2 wszedł do ChatGPT, API i Sora 21 kwietnia 2026 jako następca poprzedniego generatora obrazów (OpenAI announcement). Model dostał obsługę wielu języków, lepsze odwzorowanie tekstu w obrazach oraz wyraźnie dłuższe czasy generacji. Ponieważ pisaliśmy już o nim w artykule GPT Image 2 – co potrafi nowy generator obrazów OpenAI, parametry techniczne zostawmy na boku.
Już w pierwszym tygodniu na forum społeczności OpenAI (wątek bugów GPT Image 2 v2.0) oraz na r/ChatGPT zaczęły lecieć posty o tak zwanych “grime artifacts”. Chodzi tutaj o powtarzalne wzory szumu, lekkie tilingi i regularności widoczne po rozjaśnieniu cieni. Z kolei niektórzy doszli do wniosku, że wystarczy wygenerować obraz w jednolitym kolorze, naciągnąć krzywe w Photoshopie i zobaczyć “odcisk palca” GPT Image 2.
Stąd urodziła się internetowa teza: każdy obraz AI zostawia mikrowzór, którego nie widać gołym okiem. To prawda, ale nie nowa, ani nie tak prosta jak brzmi w viralowym poście. Zanim przejdziemy do wniosków, warto zajrzeć do literatury naukowej, w której ten temat przerabiany jest od 2019 roku.
Detekcja obrazów AI ma już siedem lat
Pierwsze poważne badanie pokazało, że generatywne sieci neuronowe zostawiają systematyczne ślady w domenie częstotliwości. Zhang, Karaman i Chang udowodnili w 2019, że klasyfikator patrzący wyłącznie na widmo Fouriera obrazu wykrywa fałszywki nawet wtedy, gdy nie był uczony na konkretnym modelu generatywnym (arXiv:1907.06515). Ich teza brzmiała prosto. Dlatego że warstwy nadpróbkowania w generatorach pozostawiają regularne replikacje spektrum, normalna fotografia nie ma prawa ich mieć.
Rok później Frank i współpracownicy z Bochum poszerzyli tę obserwację o transformatę kosinusową (DCT), pokazując “poważne artefakty” w obrazach z GAN-ów (ICML 2020, arXiv:2003.08685). W tym samym czasie zespół Wang z Berkeley opublikował głośny tekst “CNN-Generated Images Are Surprisingly Easy to Spot… for Now”. Detektor uczony na ProGAN klasyfikował poprawnie obrazy z jedenastu innych architektur, w tym StyleGAN2 i BigGAN (CVPR 2020, arXiv:1912.11035). Sam tytuł zawierał ostrzeżenie. “For now” oznaczało, że autorzy spodziewali się szybkiego końca przewagi obrońców.
Tak właśnie się stało, gdy świat przeszedł na modele dyfuzyjne. Corvi i zespół z Neapolu pokazali w 2023, że Stable Diffusion i DALL·E 2 zostawiają ślady. Niestety detektory uczone na GAN-ach gubią się na dyfuzji i dramatycznie tracą skuteczność po kompresji typowej dla mediów społecznościowych (ICASSP 2023, arXiv:2211.00680). Innymi słowy: każda generacja modeli wymaga osobnego detektora, a kiedy detektor wreszcie powstaje, model już został zastąpiony nowszym.
Dlaczego detektory psują się na świeżych modelach
Najświeższy benchmark publiczny pochodzi z NeurIPS 2025 i nazywa się AIGIBench (arXiv:2505.12335). Autorzy puścili szesnaście metod detekcji przez dwadzieścia trzy zbiory testowe i dwa miliony sześćset tysięcy obrazów z dwustu dziewięćdziesięciu jeden generatorów. Wyniki pokazują, że detektor mający w laboratorium dziewięćdziesiąt pięć procent skuteczności potrafi spaść do trzydziestu kilku punktów procentowych na obrazach pobranych ze świata realnego.
Średnia skuteczność wszystkich detektorów w benchmarku wygląda następująco. Firefly v4 – osiemnaście procent. Imagen 4 – dziewiętnaście procent. Flux Dev – dwadzieścia jeden procent. Midjourney v7 – dwadzieścia cztery procent. DALL·E 3 – trzydzieści jeden procent. Najlepszy detektor w całym zestawie wyciąga średnio siedemdziesiąt pięć procent, natomiast najgorszy trzydzieści siedem. W rezultacie rozstrzał między najgorszym a najlepszym wynosi trzydzieści siedem punktów procentowych. Innymi słowy mamy do czynienia ze statystyczną ruletką, a nie narzędziem produkcyjnym.
Powody są w sumie banalne. Pierwszy: ponowna kompresja JPEG zjada większość artefaktów wysokiej częstotliwości już w pierwszych kilku iteracjach. Drugi: zmiana rozmiaru, kadrowanie i zrzut ekranu psują pattern w analogiczny sposób. Trzeci: przeciwnik może specjalnie dorzucić malutkie zaburzenia, które dla człowieka są niewidoczne, a detektor ogłupiają natychmiast. To dziedzina zwana “adversarial robustness”, pokazana między innymi w pracy “Fake It Until You Break It” (arXiv:2410.01574). W rezultacie detekcja działa świetnie tylko w bardzo wąskich warunkach. Znamy generator, mamy oryginalny plik bez kompresji i nikt nas nie próbował oszukać.
Komercyjne narzędzia – co deklarują, a co dostarczają
Hive AI bardzo długo było cytowane jako “clear winner” w niezależnym studium Uniwersytetu Chicagowskiego, gdzie skuteczność wynosiła dziewięćdziesiąt osiem procent (blog Hive). Studium pochodzi jednak sprzed Flux Dev, Midjourney v7 i Imagen 4. Późniejsze testy z 2026 pokazują, że ta sama usługa na świeższych modelach spada poniżej dziewięćdziesięciu procent. W skrajnych przypadkach, czyli na obrazach po kilkukrotnej kompresji, schodzi jeszcze niżej.
Sensity, Optic i Originality.ai mierzą się z tym samym problemem, choć każde inaczej. Sensity specjalizuje się w deepfake’ach twarzy. Deklaruje osiemdziesiąt osiem do dziewięćdziesięciu procent skuteczności, jednak na świeżych modelach dyfuzyjnych spada do siedemdziesięciu. Optic z kolei bazuje mocno na metadanych. Dlatego oddaje dziewięćdziesiąt pięć procent, dopóki ślad pochodzenia pliku jest nietknięty. Niestety po ponownym zakodowaniu plików spada poniżej sześćdziesięciu procent. Natomiast Originality.ai jest mocniejsze w tekstach niż w obrazach.
Mówiąc inaczej: każde z tych narzędzi działa w warunkach laboratoryjnych. Niestety każde gubi się, gdy obraz przechodzi przez normalny obieg internetowy. W praktyce zostaje skompresowany przez Instagram, przepuszczony przez kompresor WhatsAppa, zrzucony screenshotem i wgrany ponownie do CRM. A tak właśnie wygląda życie obrazka po publikacji. Dlatego polegać na pojedynczym detektorze AI to dzisiaj kolosalne ryzyko, niezależnie od ceny abonamentu.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz jak naprawdę działa
Kurs Pierwsza Misja AI ma dedykowaną lekcję o ciemnej stronie AI: halucynacje, deepfakes, manipulacja. Zanim zaczniesz się bać, zacznij rozumieć.
Poznaj pełny program →
Znakowanie wodne wygrywa z detekcją statystyczną
Zamiast łapać AI po fakcie, łatwiej wpisać w obraz znak rozpoznawczy w momencie generacji. Tak działa SynthID od Google DeepMind. Standard zostawia niewidzialny ślad wpleciony w piksele i metadane obrazu lub klatki wideo. Według danych Google’a SynthID obsłużył ponad dziesięć miliardów obrazów i klatek w usługach grupy, a znak przeżywa kadrowanie, filtry, zmianę liczby klatek na sekundę i kompresję stratną (deepmind.google/synthid). Pisaliśmy też wcześniej o ataku odwrotnej inżynierii na ten standard w artykule SynthID – Google watermark AI rozszyfrowany, który pokazał, że nawet ten standard nie jest niezniszczalny. Mimo to skuteczność wbudowanego znaku jest o klasę wyższa niż statystycznych detektorów uczonych po fakcie.
Drugą warstwą jest standard C2PA, czyli Content Credentials. To kryptograficznie podpisana metadana, która podróżuje razem z plikiem. Dlatego pokazuje kto, kiedy i przy użyciu jakiego narzędzia stworzył lub zmienił obraz. Standard wspiera OpenAI, Microsoft, Adobe, Google, BBC, Sony, Leica oraz kilku producentów aparatów fotograficznych. SynthID i C2PA grają w jednej drużynie, choć z innych pozycji. Jeden zostawia niewidzialny odcisk w pikselach, natomiast drugi wkłada plik w kryptograficzną kopertę z podpisem.
Komisja Europejska w drugim drafcie kodeksu praktyk do EU AI Act napisała wprost, że “no single active marking technique suffices”. Innymi słowy żadna pojedyncza metoda znakowania nie wystarcza. Wymagana będzie kombinacja podpisanych metadanych, znakowania wodnego i opcjonalnego odciskania palca (stanowisko KE). Regulator mówi otwarcie: detekcja statystyczna sama z siebie problemu nie rozwiąże.
Co to znaczy dla polskich firm – EU AI Act od 2 sierpnia 2026
Artykuł pięćdziesiąty EU AI Act zaczyna obowiązywać 2 sierpnia 2026, czyli za niespełna trzy miesiące. Obejmuje dwie kategorie podmiotów. Pierwsza to dostawcy systemów generatywnych, którzy mają oznaczać wyniki w sposób umożliwiający maszynowe wykrycie. Druga to wdrażający, czyli zwykli użytkownicy biznesowi, którzy mają oznaczać deepfake’i oraz publicystyczne treści generowane przez AI (analiza Bird & Bird). Maksymalne sankcje sięgają piętnastu milionów euro albo trzech procent globalnego obrotu, w zależności od tego, która wartość jest wyższa.
Redakcje i agencje marketingowe
Dla polskich redakcji i agencji marketingowych oznacza to konieczność wprowadzenia procesu oznaczania kreacji AI. Dotyczy to zarówno billboardu, banera Facebooka, jak i ilustracji do artykułu. Detekcja AI na wejściu nadal się przyda, jednak jako jedna z czterech linii obrony, a nie jedyna. W praktyce kolejność wygląda tak: ślad pochodzenia C2PA (jeśli istnieje), wyszukiwanie odwrotne obrazów, analiza kontekstu i źródła, dopiero na końcu detektor AI. Jeśli któraś z trzech pierwszych warstw da sygnał alarmowy, czwarta jest już niepotrzebna.
Banki i firmy ubezpieczeniowe (KYC)
Jeszcze poważniejsze konsekwencje pojawiają się w bankach i firmach ubezpieczeniowych. Klient przesyła selfie do weryfikacji tożsamości, a system stwierdza, czy to żywa osoba, czy obraz wygenerowany. Polegać tylko na detektorze statystycznym to dzisiaj proszenie się o problem. Polska KNF i UODO już sygnalizują, że “AI fraud detection” nie zwalnia instytucji finansowych z odpowiedzialności za błędne decyzje. Bezpieczniej zbudować proces z wykrywaniem żywej osoby na wejściu i sprawdzeniem śladu pochodzenia C2PA tam, gdzie jest dostępny. Dodatkowo warto wprowadzić znakowanie własnych materiałów wodnym znakiem wewnątrz organizacji. O tym, jak narastający strumień treści AI uderza w zaufanie do internetu, pisaliśmy też w tekście AI slop zalewa internet. Ramy problemu są już szersze niż sama detekcja.
Praca z treściami w firmie
Trzecia kategoria, bliska wielu czytelnikom, to praca z treściami w firmie. Na przykład jeśli grafik tworzy ilustrację częściowo w Midjourney, a finalny plik trafia do publicznego obiegu, obowiązek oznaczania spada na firmę publikującą. W rezultacie trzeba wprowadzić drobną, ale nieoczywistą zmianę szablonów i procesu redakcji. Po pierwsze trzeba dodać pole w CMS-ie. Po drugie ustalić jednolitą konwencję podpisów. Wreszcie należy wdrożyć politykę archiwizacji oryginałów.
Podsumowanie
Wirusowy post o “odcisku palca AI” na r/ChatGPT trafił na podatny grunt, ponieważ wiele osób chce wierzyć, że da się odróżnić obraz AI od fotografii prostym chwytem. Niestety detekcja obrazów AI to dziedzina mająca już siedem lat. W rezultacie każda kolejna generacja modeli zaciera ślady, na które stara się polować. Benchmark NeurIPS 2025 pokazuje średnią skuteczność detektorów na poziomie dwudziestu kilku procent. Dotyczy to świeżych modeli, w tym Flux Dev, Midjourney v7 i Imagen 4. Komercyjne narzędzia z deklaracjami “dziewięćdziesiąt osiem procent skuteczności” mówią głównie o testach laboratoryjnych, a nie obiegu publicznym. Dlatego znakowanie wodne wbudowane w proces generacji oraz kryptograficzny standard C2PA zaczynają wygrywać. Dodatkowo regulator europejski otwarcie mówi, że pojedyncza metoda znakowania nie wystarczy. Dla polskich firm konkretem jest data 2 sierpnia 2026 i obowiązek oznaczania treści AI w obiegu publicznym. Czas najwyższy ułożyć proces, póki sankcje są jeszcze tylko na papierze. Jeśli chcesz głębiej rozumieć, co AI naprawdę potrafi zrobić z obrazami i jakie ma ograniczenia, zajrzyj do naszego artykułu o EU AI Act dla polskich firm.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
