C2PA 领域正在发生翻天覆地的变化;以下是一些值得借鉴的进展,以及对 Adobe 的赞扬和喝彩。此外,还有一个可供您试用的 C2PA 实时演示。
回顾: C2PA技术由内容真实性倡议 (Content Authenticity Initiative)推动,通常被称为“内容凭证”。我之前写过关于它的文章, 2023 年写过一篇介绍,去年 10 月也写过一篇进度报告。
让我们从一张图片开始。
黄昏时分,我拿着相机站在海边,不小心把它放在了“B”长曝光设置上,所以这实际上算不上什么照片,但我认为它还挺漂亮的。
验证内容凭证
在我撰写本文时,现在有两个 C2PA 验证器 Chrome 扩展程序: ContentLens的ContentLens C2PA 验证器和Digimarc的C2PA Content Credentials 。
如果您安装其中任何一个,然后在 Chrome 中单击上方的图片以获取较大版本,然后右键单击较大的图片,菜单将提供内容凭据验证。
这样做会在右上角产生一个小小的“CR”标志,这意味着 C2PA 数据已经过验证并由受信任的证书颁发者(在本例中为 Adobe)签名。
然后会弹出一个窗口;右边是两个扩展程序。它们有一些有趣的不同之处。我们来看看第二个扩展程序。
弹出窗口顶部的小缩略图是添加 C2PA 时的图像。其他验证器未提供。
“显示凭证……”开头的段落说,C2PA 清单嵌入在 JPG 文件中,而不是存储在云端;云端运行良好,这可能是个好主意,因为 C2PA 清单可能很大。我不太清楚“水印”是什么意思。
“由 Adobe 颁发”意味着 Chrome 扩展程序已根据 Adobe 的公钥验证了嵌入的 C2PA,并且可以确信这确实是由他们签名的。
“由 Timothy Bray 制作” 很有意思。它怎么知道的?原来它用 LinkedIn 的 API 验证了我就是 LinkedIn 上的timbraysoftwareguy 。但它更进一步;LinkedIn 与 Clear 集成了, Clear是一家面向机场的身份提供商。要注册 Clear 账户,你必须上传政府签发的身份证件,这可不是什么小事。
因此,这句简短的句子扩展为(深呼吸)“验证器扩展已验证 Adobe 所说的 LinkedIn 所说的 Clear 所说的发布此消息的人的政府身份证上显示他的名字是 Timothy Bray。”
请注意,第一个扩展程序的弹窗还会显示 Adobe 已验证我的 LinkedIn 和 Instagram 帐户。这看起来非常有用,我不明白为什么另一个扩展程序没有提供这项功能。
“使用的应用程序或设备……”很简单,但我其实不太清楚它是怎么运作的;我猜Adobe在我的Lightroom安装中嵌入了一对密钥?如果我用配备C2PA的相机拍了照片,历史记录就会显示在这里。
“未使用任何 AI 工具”。这很有趣也很实用,因为 Adobe 提供了大量基于 genAI 的工具。当然,这需要 Lightroom 的准确性,但仍然如此。
“查看更多”按钮目前无法使用;它会将你带到contentcredentials.org/verify 的交互式页面,该页面似乎无法检索 JPG 格式的图片。如果你下载图片然后上传到验证页面(没问题,免费),似乎可以正常使用。除了弹出窗口的信息外,验证页面还会(非技术性地,也就是含糊地)告诉你我用 Lightroom 对图片做了什么。
这有什么好处?
好了,它来了,而且能用!大家都在炒作,说如果 C2PA 能提供相机和镜头型号、快门速度等等信息,那该有多酷啊,但话说回来,谁在乎呢?对我来说(也应该对全世界都重要)重要的是出处:是谁发的这个东西?
在我写这篇文章的时候,以色列和伊朗的支持者正在用虚假的战争照片和视频进行一场人工智能混战。在一个充斥着 C2PA 的世界里,你可以检查一下;如果某个片段没有内容凭证,你可能应该怀疑;如果有,那么它是由IDF.il还是BBC.co.uk上传的就很重要了。
这有什么问题吗?
听着,我不想吹毛求疵。我对这个消息非常乐观,它证明了 C2PA 可以在野外运行。我的印象是,大部分资金和力量都来自 Adobe;他们做得不错。但还有一些改进可以让它更有用,让更多网站可以使用。这些改进没有特定的顺序。
身份!
Adobe,很高兴您允许我在 LinkedIn、Instagram 和 Clear 上建立身份。但我真正希望的是,您也能验证并签署我的 Fediverse 和 Bluesky 用户名。另外,Fediverse 和 ATProto 的开发人员们,首先,请停止从上传的照片 EXIF 中删除 C2PA 清单;其次,请在 C2PA 链中添加您自己的链接,例如“最初由 @[email protected] 发布”。
因为在社交媒体世界中拥有可验证的媒体来源将成为抵制虚假信息和垃圾的有力工具。
哦,还有一点要提醒 Adobe:当我导出照片时,嵌入清单文件还会在“Web3”标题下提供选项,允许该图片“在支持的市场上用于 NFT 创意归因”,支持的市场是 Phantom 和 MetaMask。说真的,伙计们,都 2025 年了?拜托,把这堆骗人的加密货币垃圾从我脸上拿开吧。
浏览器请…
这是通过 Chrome 扩展程序实现的。有人正在开发 Firefox 和 Safari 的扩展程序,但目前尚未发布。令人恼火的是,这些扩展程序似乎也无法在移动版 Chrome 上运行,而大多数人浏览媒体内容都是通过移动版 Chrome 浏览器进行的。
如果浏览器能直接自动完成这项操作就好了。主流浏览器并不完美,但它们的开发者以高度重视安全性而闻名,我更愿意信任其中一款浏览器,而不是一个我从未听说过的公司开发的扩展程序。
…或者可能是 JavaScript?
次优解决方案是一个优秀的 JS 包,它能做到恰到好处。它应该像我处理字体那样工作:如果你查看当前页面的源代码,顶部的 JS 代码块包含几行提到“typekit.com”的代码。Typekit(现已被 Adobe 收购)提供了大量优质字体的访问权限。这些 JS 调用会导致你正在阅读的文本显示在FF Tisa Web Pro中。
这一点很重要,它并非免费。需要说明的是,我愿意为本博客图片的内容凭证付费。这感觉就像花一小笔钱访问一个专业管理的字体库一样。运营内容凭证服务并非免费,它需要运行服务器并处理证书。不过,从规模上来看,它应该相当便宜。
因此,这里有一个提议:如果有人推出一项服务,允许我直接在我的“内容凭证”中包含这张图片来源于 tbray.org 的事实,那么我的钱包就会(适度地)打开。
顺便说一句,核心 JavaScript 代码已在构建中;这是微软和内容权威倡议本身的贡献。此外,还有一个用于服务器端使用的 Rust 包,以及一个基于它的“c2patool”命令行程序。
开源问题
你会注意到,右键单击“获取内容凭据”功能对嵌入在文本中的较小版本的图片不起作用,只对较大版本起作用。这是因为这款基于 Perl 语言的持续发布软件使用了几十年前的老版本ImageMagick来运行主页图片,而 ImageMagick 不支持 C2PA。我应该想办法解决这个问题。
事实上,对于 ImageMagick(或一般开源软件包)来说,编写 C2PA 清单并将其插入到它们创建的媒体文件中并非难事。但它们应该如何签名呢?如上所述,这需要一个提供基于证书的签名的服务器,即使是维护良好的开源软件包也不会提供这种功能。
我不知道,也许有人应该提供一个托管 ImageMagick 服务(收取少量费用)来提供签名的 C2PA 清单嵌入?
下一步是什么?
需要做的工作并不琐碎,但坦白说,也不算太费劲。而且回报也很高。因为知道是谁发的帖,感觉是件大事,这似乎不费脑筋。反过来也一样:你不知道是谁发的帖。
这在哪些地方尤其重要?显然是在社交媒体上。现在是时候让那些家伙们开始行动起来了。
原文: https://www.tbray.org/ongoing/When/202x/2025/06/17/More-C2PA