方法论

1、核心原理：

        扩散模型生成图像的起点，是一个从标准正态分布中采样出来的纯随机隐变量。

这套方法论的核心原理是不改变噪声的整体统计分布，只篡改其内部的符号结构。具体来说：

取其幅值：保留真实高斯噪声绝对值的大小 |y_i|，这构成了高斯分布完美的“钟形曲线”骨架

换其符号：将正负号替换为由密码学算法生成的伪随机纠错码（PRC）码字c_i（由 +1和 -1组成）。

完美缝合：构建出带有水印的初始隐变量 z^(T)_i = c_i · |y_i|，并将其送入正常的图像生成流程 。

2. 为什么选择这个方法？

        传统的水印方法（如 Tree-Ring 或 Gaussian Shading）通常会强行改变潜空间的频域结构或限定采样区域，这不可避免地会破坏图像的生成质量或多样性 。作者选择 PRC 方法，是出于以下三个极其严苛的目标：

零质量损耗（绝对保真）：真实高斯噪声的正负符号本就是 50% 随机的，而 PRC 码字在没有密钥的人看来，也是完美 50% 随机分布的。因此，缝合后的 z^(T)在统计学上依旧是完美的标准正态分布，模型画出的图在质量上没有任何妥协 。

深层语义绑定（强鲁棒性）：水印不是加在像素表面的，而是作为图像生成的“初始基因”参与了去噪的全过程。结合 PRC 强大的奇偶校验纠错能力，即便图像遭遇严重的压缩或破坏，检测器仍能通过残缺的特征恢复出水印痕迹 。

信息大容量：得益于 PRC 的特性，除了做二元检测（有没有水印），还可以利用置信度传播（Belief Propagation）直接在水印中编码高达数千比特的长消息 。

3. 核心算法伪代码细节

整套方法论围绕着四个核心动作展开：嵌入、生成、回复和检测。

        使用PRC生成长度为n的伪随机数{-1,1}，生成密匙k;随机采样n维的高斯噪声；c_i诚意y_i的绝对起，换其符号；输入到生成模型中生成图像。

        逆扩散图像获得高斯噪声；提取每一个维度的正负值获得符号向量c；使用密匙k来检测和提取嵌入信息。

4. 严谨的数学证明

        定理 1：不可检测性保证 (Undetectability)

        概率1-概率2，概率1为水印图像切攻击者检测其为带水印图像的概率，概率2为非水印图像切攻击者认为其没有水印的概率，两者相减小于一个可忽略的差距。

        F是设定的一个概率值，作者说明，检测出错的概率不会低于你设定的F。

实验

实验设置

        生成模型：Stable Diffusion 2.1-base潜空间维度：对于512x512的图片，SD 模型的潜在空间尺寸是 4x64x64。采样器与步数：使用 DPMSolver 采样器，迭代 50 步。这是生成高质量、细节丰富图像的标配。引导尺度 (CFG Scale)：设置为 3.0。这个较低的值能让 AI 在遵守提示词的同时，保留较大的创造力（多样性），从而更好地测试水印是否会破坏这种发散性。

        测试数据集：MS-COCO；Stable Diffusion Prompts (SDP)：这是一个专门收集真实用户输入的 AI 绘图提示词库。

        PRC 水印的参数：误报率上限 F：默认设置为 10^{-6}、稀疏度权重 (t)：奇偶校验方程的稀疏度设为 t = 4。

对比基准：

        潜空间水印：Tree-Ring、Gaussian Shading。这是专门针对扩散模型设计的最新技术。

        深度学习盲水印：StegaStamp、RivaGAN。这些是利用神经网络强行把水印揉进像素里的经典方案。

        传统频域水印：DWT-DCT、DWT-DCT-SVD 等。这些是传统的数字信号处理流派。

实验展示

图像质量测试

        使用了FID（真实度，越低越好）、CLIP Score（图文匹配度，越高越好）和 Inception Score（生成质量，越高越好）。

        加入水印后，模型会不会变成“复读机”（输入同一个提示词，每次生成的图都差不多）？LPIPS（感知相似度得分）。分数越高，说明同一提示词生成的不同图片之间，视觉差异越大、多样性越丰富。

可靠性测试

        作者训练了一个 ResNet18 图像分类网络，让它去死磕，试图区分“带水印”与“不带水印”的图，以及区分“不同密钥”生成的图。可以看到，第三列的测试中PRC的概率在50%左右，说明ResNet18无法区分PRC方法生成的图像。

        去水印攻击测试，展示真阳性率（TPR，即水印存活率）与图像失真程度（FID 分数）关系的边界图。要想把 PRC 水印的检测率打下来，攻击者必须付出极其惨痛的画质代价。只有当图片的 FID 分数飙升到极高（意味着图片被破坏得模糊不清、细节全无，完全失去了使用价值）时，水印才会失效。