Een pakkend redactioneel beeld dat verborgen identiteitssignalen verbeeldt, ingebed in audiogolfvormen, specifiek voor het domein van muziek en AI-fraude.
Artificial IntelligenceMusic IndustryTechnology

75 miljoen nepnummers verwijderd van Spotify. Het echte probleem zijn de nummers die bleven staan.

Ashutosh SinghalAshutosh Singhal23 februari 202612 min

Een paar maanden geleden zat ik in een vergadering met een muziekdistributeur die me iets vertelde dat mijn kijk op de hele audio-industrie op zijn kop zette. Hij opende een dashboard met hun dagelijkse ingestiepijplijn. "Zie je dit?" zei hij, terwijl hij door een stroom nieuwe uploads scrolde. "We krijgen zo'n vierduizend nummers per dag alleen al via ons platform. Ik schat dat een derde daarvan gemaakt is door iemand die minder tijd besteedde aan het maken van het nummer dan jij vanochtend aan het poetsen van je tanden."

Ik lachte. Hij niet.

Hij overdreef niet. Spotify alleen al slikt ruwweg 100.000 nieuwe nummers elke dag in. Als je van elk nummer maar 30 seconden zou proberen te luisteren, zou het je 35 dagen aan aaneengesloten weergave kosten om alleen de uploads van één dag door te komen. En een groeiend deel van die vloedgolf is in geen enkel betekenisvol opzicht muziek — het is algoritmisch gegenereerd geruis dat is ontworpen om geld weg te sluizen van de mensen die daadwerkelijk kunst maken.

Dit is het audiowatermerkprobleem waar ik het laatste stuk van mijn carrière bezeten mee bezig ben geweest bij Veriprajna. Niet omdat watermerking een sexy technologie is — dat is het niet — maar omdat elke andere oplossing waar de industrie op leunt een fatale zwakte heeft waar niemand eerlijk over wil praten.

De roof van 3 miljard dollar die verstopt zit in jouw afspeellijst

Hier komt het deel dat je boos zou moeten maken, of je nu muzikant bent, luisteraar, of gewoon iemand die $10,99 per maand betaalt voor een streamingabonnement.

De manier waarop de meeste grote platforms artiesten betalen heet het pro-ratamodel. Alle abonnements- en advertentie-inkomsten komen in één enorme pot. Die pot wordt gedeeld door het totale aantal streams op het platform. Jouw tarief per stream is een fractie van het geheel.

Dit betekent dat elke nepstream niet alleen van het platform steelt — het steelt van elke echte artiest. Wanneer een botfarm een miljard weergaven genereert op door AI gegenereerde witte ruis, blaast dat de noemer op. De uitbetaling per stream daalt voor iedereen. Jouw favoriete onafhankelijke artiest, degene die zes maanden lang op zijn slaapkamer aan een album schreef, krijgt minder betaald omdat een fraudebende in een ander land tienduizend regengeluid-loops uploadde en er een botnet op richtte.

Schattingen uit de industrie leggen de jaarlijkse schade op 2 miljard tot 3 miljard dollar. Deezer meldde dat 70% van de weergaven op door AI gegenereerde nummers op hun platform als frauduleus werd aangemerkt. Spotify moest alleen al in 2024 en 2025 ruim 75 miljoen nummers opruimen — een getal dat wedijvert met de omvang van de gehele historische catalogus van opgenomen muziek.

Elke frauduleuze stream is niet zomaar diefstal van een platform. Het is een belasting op elke legitieme artiest, onzichtbaar betaald via een krimpende royaltypot.

Ik herinner me de avond dat die Spotify-opruimcijfers naar buiten kwamen. Ik zat aan mijn bureau, en mijn eerste reactie was opluchting — eindelijk nemen de platforms dit serieus. Mijn tweede reactie, zo'n tien minuten later, was angst. Want 75 miljoen is het aantal dat ze betrapten. Hoe zit het met de nummers die erdoorheen glipten?

Waarom faalt audio-fingerprinting tegen AI-muziek?

Een vergelijkend diagram naast elkaar dat laat zien hoe audio-fingerprinting (identificatie) faalt tegen nieuwe AI-content terwijl audiowatermerking (authenticatie) slaagt door herkomst bij het maken in te bedden.

Dit is de vraag die me ertoe bracht te gaan bouwen wat we bouwen. En het antwoord is bedrieglijk eenvoudig zodra je het ziet.

Het primaire verdedigingssysteem van de muziekindustrie is audio-fingerprinting — de technologie achter Shazam, YouTube's Content ID, en de meeste rechtenbeheerplatforms. Fingerprinting werkt door een perceptuele signatuur uit een stuk audio te halen en die te matchen tegen een enorme database van bekende opnames.

Hier zit het probleem: generatieve AI kopieert niet. Het synthetiseert.

Wanneer een diffusiemodel een nieuw nummer genereert, creëert het een golfvorm die nog nooit heeft bestaan. Er is geen invoer in welke fingerprinting-database dan ook om tegen te matchen. Voor Content ID ziet een gloednieuw AI-spamnummer er precies hetzelfde uit als een gloednieuw menselijk meesterwerk. Beide zijn simpelweg "onbekende content."

Ik noem dit de Originaliteitsparadox, en het is de reden dat ik ongeveer een week niet kon slapen nadat we onze eerste tests hadden gedraaid. We namen een set door AI gegenereerde nummers — sommige duidelijk afgeleid van bestaande artiesten, sommige volledig nieuw — en haalden ze door standaard fingerprinting-pijplijnen. De afgeleide nummers activeerden af en toe gedeeltelijke matches. De nieuwe? Complete stilte van het detectiesysteem. Geen enkele signalering.

Mijn medeoprichter keek naar de resultaten en zei: "Dus hoe beter de AI wordt in origineel zijn, hoe slechter onze detectie wordt?" Ja. Precies. Dat is de val.

Fingerprinting is identificatietechnologie. Het vertelt je wat iets is. Watermerking is authenticatietechnologie. Het vertelt je waar iets vandaan kwam. De muziekindustrie heeft het verkeerde gereedschap gebruikt.

Ik schreef over dit onderscheid — en de volledige technische architectuur achter de reden waarom fingerprinting het begeeft — in onze interactieve whitepaper. Maar de korte versie is deze: fingerprinting is reactief. Het heeft nodig dat de content al bestaat en geregistreerd is. Wij hadden iets proactiefs nodig — iets dat herkomst inbedt op het moment van creatie.

De fraude werd slimmer terwijl wij niet opletten

Een stroomdiagram dat de moderne "low and slow" AI-muziekfraude-kill chain toont, van AI-nummergeneratie via botnetdistributie tot het onttrekken uit de royaltypot.

Het andere dat me wakker hield was leren hoe de fraudeoperaties nu daadwerkelijk werken. Het oude draaiboek was grof: upload een nummer, bestook het met miljoenen streams vanaf één IP-adres, cash uit. Platforms betrapten dat jaren geleden.

Het nieuwe draaiboek is angstaanjagend elegant. Ze noemen het "low and slow."

In plaats van dat één nummer een miljoen nepstreams krijgt, gebruikt een fraudebende AI om tienduizend nummers te genereren. Vervolgens speelt een botnet elk nummer maar honderd keer af. De totale uitbetaling is hetzelfde, maar geen enkel nummer activeert een viraal-piekwaarschuwing. De fraude verstopt zich in de lange staart, begraven onder de pure omvang van legitieme data.

En de infrastructuur achter deze operaties is enterprise-waardig geworden. We hebben het over residentiële proxy's die verkeer routeren via gecompromitteerde IoT-apparaten zodat elke stream lijkt te komen van een ander huis. Headless browsers die scripts draaien die menselijk gedrag nabootsen — muisbewegingen, pauzeren, nummers overslaan, zoeken — om engagement-analyses te misleiden. Door AI gegenereerde afspeellijsten met SEO-geoptimaliseerde titels zoals "Chill Lo-Fi for Coding" die een paar legitieme hits van grote artiesten mixen met tientallen spamnummers, waarmee ze de fraude camoufleren en soms zelfs het aanbevelingsalgoritme van het platform verleiden om de nepnummers aan echte luisteraars te serveren.

Ik zat op een middag met ons team deze kill chain op een whiteboard uit te tekenen, en iemand zei: "Dit is geen muziekpiraterij. Dit is financiële fraude die toevallig audiobestanden als vehikel gebruikt." Die herkadering veranderde alles voor ons.

Wat gebeurt er als je een nummer via een luidspreker afspeelt en opnieuw opneemt?

Een geannoteerd diagram dat laat zien hoe het op autocorrelatie gebaseerde watermerk de analoge kloof overleeft — de zich herhalende watermerkblokken worden identiek vervormd door de kamerakoestiek, waardoor hun onderlinge relatie behouden blijft.

Dit is de technische uitdaging die serieuze watermerking van al het andere onderscheidt, en het is degene waar ik het meest trots op ben dat ons team het aanpakte.

Het heet de analoge kloof — soms het analoge gat. Stel je voor dat een deepfake-nummer wordt afgespeeld op iemands laptopluidsprekers. Het geluid reist door de lucht. Iemand neemt het op met zijn telefoon. Die opname wordt geüpload naar een platform.

Tijdens die reis wordt het audiosignaal vernietigd op manieren die bijna komisch vijandig zijn voor databehoud. Geluid kaatst af van muren, vloeren en meubels — de microfoon ontvangt het directe signaal plus duizenden licht vertraagde reflecties. Goedkope luidsprekers snijden alles onder 300 Hz en boven 15 kHz weg. Het opnameapparaat weet niet waar het watermerk "begint," dus het hele signaal raakt gedesynchroniseerd.

De meeste watermerksystemen die MP3-compressie overleven — de digitale kloof — sterven direct in de analoge kloof. En toch is de analoge kloof precies het scenario dat het meest telt voor het detecteren van deepfakes die op sociale media worden gedeeld, op de radio worden afgespeeld, of tijdens live-gesprekken worden vastgelegd.

We besteedden weken aan het falen hiermee voordat we de aanpak vonden die werkte. De doorbraak was het besef dat we het ontvangen signaal helemaal niet zouden moeten vergelijken met een externe referentie. In plaats daarvan bedden we een zich herhalend patroon in het signaal zelf in en gebruiken we autocorrelatie — het signaal vergelijkt zichzelf met zichzelf.

Hier is waarom dat slim is: wanneer audio door een galmende kamer reist, wordt het hele signaal op dezelfde manier vervormd. Blok A en Blok B van ons zich herhalende watermerk worden beide uitgesmeerd door dezelfde kamerakoestiek. De relatie tussen hen overleeft zelfs wanneer het absolute signaal verminkt is. De detector zoekt naar een periodieke piek in de autocorrelatie op een bekend interval, en die piek bevestigt de aanwezigheid van het watermerk zonder ooit te hoeven weten hoe de originele audio klonk.

Er was een moment in het lab — en ik gebruik "lab" losjes, het was eigenlijk gewoon een vergaderruimte met een laptop en een bluetoothluidspreker die we bij een buurtwinkel hadden gekocht — waar we een gewatermerkt nummer door die vreselijke luidspreker afspeelden, het opnamen met een telefoon aan de andere kant van de kamer, en de detector draaiden. Toen het positief terugkwam, keek mijn engineer me aan en zei, heel zachtjes: "Dat had niet mogen werken." Maar het werkte. En dat was het moment waarop ik wist dat we iets hadden.

Kunnen aanvallers het watermerk niet gewoon verwijderen?

Dit is de eerste tegenwerping die iedereen opwerpt, en het is de juiste.

Geavanceerde aanvallers zullen absoluut proberen AI te gebruiken om watermerken te vinden en eruit te strippen. We zouden naïef zijn om anders te denken. Daarom verdedigt onze trainingspijplijn niet alleen tegen een vaste lijst van bekende aanvallen zoals "ruis toevoegen" of "comprimeren naar MP3." We gebruiken een raamwerk voor adversariële training — in wezen trainen we een aanvallernetwerk naast ons watermerksysteem. De aanvaller probeert het watermerk te vernietigen terwijl de audio beluisterbaar blijft. De encoder past zich aan om de aanval te overleven. Ze spelen dit minimaxspel door duizenden iteraties totdat het watermerk aanvallen overleeft die nog niet eens bestonden toen de training begon.

Het resultaat: ons systeem behaalt een attributienauwkeurigheid boven de 98% zelfs onder agressieve bewerking — time-stretching, pitch-shifting, croppen. Zelfs als een fraudeur een fragment van 30 seconden terugknipt naar 10 seconden, verzamelt de detector genoeg statistisch bewijs uit het fragment om de herkomstsignatuur te decoderen.

Voor de volledige technische uiteenzetting van de spread-spectrum-inbedding, SVD-decompositie, en adversariële weerstandsprotocollen, zie ons onderzoekspaper. Maar het belangrijkste inzicht gaat niet over een enkele techniek — het is dat het watermerk in de structuur van de audio leeft, niet op het oppervlak. Je kunt het oppervlak zandstralen. De structuur blijft bestaan.

Het voedingswaarde-etiket voor geluid

Een watermerk op zichzelf is een link. Het zegt "deze audio is gemarkeerd." Maar gemarkeerd door wie? Met welk doel? Om een echt vertrouwensecosysteem te bouwen, moet je dat akoestische signaal verbinden met een verifieerbare identiteit.

Dit is waar we integreren met C2PA — de Coalition for Content Provenance and Authenticity — een open standaard die functioneert als een voedingswaarde-etiket voor digitale content. Het legt cryptografisch vast wie een asset heeft gemaakt, hoe het is gemaakt (mens of AI), en welke bewerkingen zijn uitgevoerd.

De kwetsbaarheid van oplossingen die alleen op metadata leunen is duidelijk: converteer een ondertekende WAV naar een generieke MP3, en de metadata-header verdwijnt. Speel het af op de radio, en het is weg. Maar ons watermerk overleeft die transformaties. Dus gebruiken we het watermerk als een soft binding — het draagt een unieke identifier die verwijst naar een in de cloud gehost C2PA-manifest. Strip de metadata, converteer het formaat, speel het door de lucht af en neem het opnieuw op. Het watermerk blijft bestaan. De detector haalt de identifier eruit, bevraagt het grootboek, en haalt het volledige herkomstdossier op.

Herkomst zou met de content mee moeten reizen, niet in een header moeten zitten die wordt gestript op het moment dat iemand op "Exporteren als MP3" klikt.

En voor iedereen die zich zorgen maakt over privacy — een dissidente journalist of een anonieme artiest zou niet zijn wettelijke naam aan een bestand hoeven te koppelen alleen maar om te bewijzen dat het echt is. C2PA ondersteunt pseudonieme claims en selectieve openbaarmaking. Een artiest kan een nummer ondertekenen als "Geverifieerde Maker #892," gekoppeld aan een credential uitgegeven door een vertrouwde derde partij, zonder zijn thuisadres prijs te geven.

Waarom niet gewoon meer moderators aannemen?

Omdat het economisch onmogelijk is. Onderzoek toont aan dat menselijke moderators nauwkeuriger zijn in het detecteren van nuance en context, maar ze kosten bijna 40 keer meer dan geautomatiseerde systemen. En het menselijk gehoor wordt biologisch ontoereikend — het onderscheiden van een hoogwaardige AI-stemkloon van een echte opname nadert de grenzen van wat onze oren kunnen, terwijl het wiskundig hanteerbaar blijft voor machines.

De industrie heeft de nuance van menselijk oordeel nodig op de schaal en tegen de kosten van software. Dat is wat deterministische watermerkdetectie biedt. Een watermerk is er ofwel of het is er niet. Er is geen betrouwbaarheidsscore om te interpreteren, geen waarschijnlijkheidscurve die een menselijke beoordelaar nodig heeft om de doorslag te geven. Dit maakt volledig geautomatiseerde actie mogelijk — demonetisatie, signalering, verwijdering — met zekerheid van juridische kwaliteit.

De tweesprong

Mensen vragen me soms of ik denk dat AI de muziekindustrie zal vernietigen. Dat denk ik niet. Ik denk dat de muziekindustrie in orde zal komen — als ze stopt met doen alsof de gereedschappen die voor het vorige tijdperk zijn gebouwd in dit tijdperk werken.

Fingerprinting was gebouwd voor een wereld waarin content door mensen werd gemaakt en de uitdaging het identificeren van kopieën was. We leven nu in een wereld waarin content door machines wordt gemaakt en de uitdaging het bewijzen van oorsprong is. Dit zijn fundamenteel verschillende problemen, en ze vereisen fundamenteel verschillende infrastructuur.

Spotify's minimumdrempel van 1.000 streams voor royalty-uitbetalingen is een beleidspleister. Gebruikersgerichte betalingsmodellen zijn een structurele verbetering. Maar geen van beide pakt de grondoorzaak aan: platforms kunnen momenteel het verschil niet zien tussen een nieuw AI-nummer en een nieuw menselijk nummer. Totdat dat verandert, is elke andere oplossing stroomafwaarts.

De generatieve capaciteit is nu een commodity. Iedereen met een GPU of een API-sleutel kan de pijplijn overspoelen. De schaarste — en dus de waarde — is verschoven naar herkomst. Niet wat er is gemaakt, maar wie het heeft gemaakt, hoe, en of het echt is.

De toekomst van AI-muziek gaat niet over het model dat de beste melodie genereert. Het gaat over de infrastructuur die garandeert dat die melodie echt, vergoed en erkend is.

Met de EU AI Act en aanstaande Amerikaanse deepfake-regelgeving verschuift watermerking van optioneel naar verplicht. De vraag is niet of de industrie herkomststandaarden zal adopteren. Het is of ze die zal adopteren voordat of nadat de royaltypotten zijn leeggebloed.

Ik weet aan welke kant van die weddenschap ik bouw. Als je het niet kunt watermerken, genereer het dan niet. Dat is geen slogan. Het is de enige operationele werkelijkheid die een vertrouwd audio-internet mogelijk maakt.

Gerelateerd onderzoek

Ook gepubliceerd op

Bouw uw AI met vertrouwen.

Werk samen met een team met diepgaande ervaring in het bouwen van de volgende generatie enterprise-AI. Laat ons u helpen bij het ontwerpen, bouwen en implementeren van een AI-strategie waarop u kunt vertrouwen.

Veriprajna Deep Tech-adviesbureau is gespecialiseerd in het bouwen van veiligheidskritische AI-systemen voor de gezondheidszorg, de financiële sector en gereguleerde domeinen. Onze architecturen worden gevalideerd aan de hand van gevestigde protocollen met uitgebreide compliancedocumentatie.