
Spotify删除了7500万首虚假歌曲。真正的问题,是那些没被删掉的。
几个月前,我和一位音乐分发商开会,他跟我说的一番话彻底改变了我对整个音频行业的看法。他调出一个仪表盘,展示他们每天的内容摄入管线。“看到这个了吗?”他一边翻看新上传内容的信息流一边说,“仅通过我们这一个平台,每天就有大约四千首曲目涌入。我估计其中三分之一的作品,创作者花在制作上的时间,比你今早刷牙的时间还短。”
我笑了。他没有。
他没有夸张。仅Spotify一家就摄入大约100,000首新曲目,日复一日。如果你试着每首只听30秒,光是听完一天的上传量,就需要连续播放35天。而在这股洪流中,越来越大的一部分从任何有意义的角度看都算不上音乐——它们是算法生成的噪音,专门用来从真正创作艺术的人那里抽走金钱。
这就是音频水印难题,在Veriprajna,我职业生涯近来这段时间一直执迷于它。不是因为水印是一项性感的技术——它并不是——而是因为整个行业所依赖的其他每一种方案,都有一个没人愿意坦诚谈论的致命缺陷。
藏在你歌单里的30亿美元劫案
接下来这部分应该会让你愤怒,无论你是音乐人、听众,还是仅仅每月支付10.99美元订阅流媒体的人。
大多数主流平台向艺术家付费的方式,被称为按比例分成模式(pro-rata model)。所有订阅和广告收入都汇入一个巨大的资金池。这个池子按平台上的总播放次数进行分配。你每次播放的费率,只是整体中的一小部分。
这意味着,每一次虚假播放不仅是在偷平台的钱——它还在偷每一位真实艺术家的钱。当一个僵尸网络农场为AI生成的白噪音制造出十亿次播放时,它抬高了分母。所有人的每次播放收益都随之下降。你最喜欢的独立艺术家,那个在卧室里花了六个月写完一张专辑的人,收入变少了,只因为另一个国家的诈骗团伙上传了一万段雨声循环,并用僵尸网络对准了它们。
业界估计,每年造成的损失高达20亿至30亿美元。Deezer报告称,AI生成曲目的70%播放量在其平台上被标记为欺诈行为。Spotify不得不清除超过7500万首曲目,而这仅仅是2024年和2025年两年间的数字——它堪比整个有声录音史上全部曲库的规模。
每一次欺诈性播放都不只是对平台的盗窃。它是对每一位正当艺术家征收的税,通过不断缩水的版税池悄无声息地被征走。
我还记得Spotify清除数字公布的那个晚上。我坐在办公桌前,第一反应是松了口气——平台终于开始认真对待这件事了。大约十分钟后,我的第二反应是恐惧。因为7500万只是他们所查获的数字。那些溜掉的呢?
音频指纹识别为何在AI音乐面前失效?

正是这个问题,促使我开始构建我们如今正在打造的东西。而一旦看透,答案简单得出人意料。
音乐行业的主要防御系统是音频指纹识别 ——它是Shazam、YouTube的Content ID以及大多数版权管理平台背后的技术。指纹识别的原理,是从一段音频中提取一个感知特征,并将其与一个庞大的已知录音数据库进行比对。
问题在于:生成式AI不会复制,它会合成。
当扩散模型生成一首新曲目时,它创造出一段从未存在过的波形。任何指纹数据库里都没有可供比对的条目。在Content ID看来,一首全新的AI垃圾曲目,与一首全新的人类杰作看起来一模一样。两者都只是“未知内容”而已。
我称之为“原创性悖论”,正因为它,我们跑完第一轮测试后我大约有一个星期睡不着觉。我们取了一组AI生成的曲目——有些明显模仿现有艺术家,有些则完全新颖——让它们通过标准的指纹识别管线。那些模仿性的偶尔会触发部分匹配。而那些新颖的呢?检测系统一片沉默。连一个标记都没有。
我的联合创始人看着结果说:“所以AI越擅长做到原创,我们的检测就越差?”是的,正是如此。这就是那个陷阱。
指纹识别是识别技术,它告诉你某样东西是什么。水印是认证技术,它告诉你某样东西来自哪里。音乐行业一直在用错误的工具。
我曾撰文探讨过这一区别——以及指纹识别为何会崩溃背后的完整技术架构——具体见我们的互动白皮书。但简短版本是这样的:指纹识别是被动的。它需要内容已经存在并完成注册。我们需要的是某种主动的东西——某种在创作那一刻就嵌入来源信息的东西。
在我们没注意的时候,欺诈变得更聪明了

另一件让我睡不着的事,是了解到如今这些欺诈操作实际是怎么运作的。旧的套路很粗糙:上传一首曲目,用来自单一IP地址的数百万次播放对它狂轰滥炸,然后套现。平台在多年前就识破了这一招。
新的套路优雅得令人毛骨悚然。他们称之为“低量慢速”。
不再是让一首曲目获得一百万次虚假播放,而是一个诈骗团伙用AI生成一万首曲目。然后一个僵尸网络让每首曲目仅播放约一百次。总的收益是一样的,但没有任何单曲会触发病毒式激增的警报。欺诈藏身于长尾之中,被海量的正当数据所掩埋。
而这些操作背后的基础设施已经达到企业级水准。我们说的是:住宅代理通过被入侵的物联网设备转发流量,让每一次播放看起来都来自不同的家庭。无头浏览器运行脚本,模仿人类行为——鼠标移动、暂停、跳过曲目、搜索——以骗过互动分析。AI生成的歌单配上经过SEO优化的标题,比如“编程时听的慵懒Lo-Fi”,把几首来自大牌艺术家的正当热门曲目和几十首垃圾曲目混在一起,既掩护了欺诈,有时甚至骗过平台的推荐算法,让它把这些虚假曲目推送给真实听众。
一天下午,我和团队一起在白板上梳理这条攻击链,有人说:“这不是音乐盗版。这是恰好以音频文件为载体的金融欺诈。”这个重新定义改变了我们的一切。
当你用音箱播放一首歌并重新录制时,会发生什么?

这正是把严肃的水印技术与其他一切区分开来的技术挑战,也是我最为团队攻克它而自豪的一点。
它被称为模拟间隙(Analog Gap) ——有时也叫模拟漏洞。想象一首深度伪造的歌曲在某人的笔记本电脑音箱上播放。声音在空气中传播。有人用手机把它录了下来。这段录音被上传到某个平台。
在这段旅程中,音频信号会以近乎滑稽地敌视数据保存的方式被摧毁。声音在墙壁、地板和家具上反弹——麦克风接收到直达信号,外加成千上万个略有延迟的反射。廉价音箱会砍掉300Hz以下和15kHz以上的一切频率。录音设备不知道水印从哪里“开始”,因此整个信号都失去了同步。
大多数能挺过MP3压缩——也就是数字间隙——的水印系统,在模拟间隙中会瞬间死亡。然而,模拟间隙恰恰是检测深度伪造最重要的场景:那些在社交媒体上分享、在广播里播放、或在实时通话中被捕获的内容。
在找到真正奏效的方法之前,我们在这上面失败了好几周。突破在于意识到,我们根本就不该把接收到的信号与外部参照进行比对。相反,我们在信号本身之内嵌入一个重复的模式,并使用自相关 ——让信号将自身与自身进行比对。
这为什么巧妙:当音频穿过一个混响的房间时,整个信号会以相同的方式失真。我们重复水印中的A块和B块,都被同样的房间声学抹糊。即便绝对信号被搅得面目全非,它们之间的关系依然存活。检测器在一个已知的间隔上寻找自相关中的周期性峰值,这个峰值就能确认水印的存在——而完全不需要知道原始音频听起来是什么样。
在实验室里曾有那么一刻——我用“实验室”这个词很宽泛,其实那不过是一间会议室,里面有一台笔记本电脑和一个我们从便利店买来的蓝牙音箱——我们用那个糟糕的音箱播放一首加了水印的曲目,在房间另一头用手机录下来,然后运行检测器。当结果显示为阳性时,我的工程师看着我,非常轻声地说:“这本不该奏效。”但它奏效了。就在那一刻,我知道我们手里有真东西了。
攻击者难道不能直接把水印去掉吗?
这是每个人提出的第一个质疑,而且它问得对。
老练的攻击者绝对会尝试用AI来找出并剥离水印。如果我们不这么想,那就太天真了。正因如此,我们的训练管线不只是防御一份固定的已知攻击清单,比如“加噪声”或“压缩成MP3”。我们使用一种对抗训练框架 ——本质上,我们在训练水印系统的同时,也训练一个攻击者网络。攻击者试图在保持音频可听的前提下摧毁水印。编码器则不断调整以在攻击中存活。他们在数千次迭代中反复进行这场极小极大博弈,直到水印能挺过那些在训练开始时甚至还不存在的攻击。
结果是:我们的系统实现的归因准确率超过98%,即便在激进编辑下也是如此 ——时间拉伸、音高变换、裁剪。即便一个诈骗者把一段30秒的片段剪到只剩10秒,检测器也能从这个片段中积累足够的统计证据,解码出来源签名。
关于扩频嵌入、SVD分解以及对抗抵御协议的完整技术拆解,请参阅我们的研究论文。但关键的洞见并不在于任何单一技术——而在于水印栖身于音频的结构之中,而非其表面。你可以对表面进行喷砂打磨,但结构会留存下来。
声音的营养成分标签
水印本身是一个链接。它说的是“这段音频已被标记”。但被谁标记?为了什么目的?要建立一个真正的信任生态系统,你需要把这段声学信号与一个可验证的身份连接起来。
这正是我们与C2PA——内容来源与真实性联盟(Coalition for Content Provenance and Authenticity) ——集成之处,它是一项开放标准,其功能就像数字内容的营养成分标签。它以密码学方式记录谁创建了某项资产、它是如何被创建的(人类还是AI),以及做过哪些编辑。
只依赖元数据的方案,其脆弱性显而易见:把一个已签名的WAV转换成一个普通的MP3,元数据头就消失了。在广播里播放它,它也就没了。但我们的水印能挺过这些转换。因此我们把水印用作一种软绑定(soft binding) ——它携带一个唯一标识符,指向一份云端托管的C2PA清单。剥去元数据、转换格式、通过空气播放再重新录制,水印依然存在。检测器提取出这个标识符,查询账本,并取回完整的来源记录。
来源信息应当随内容一同流转,而不是待在一个头部字段里,一旦有人点击“导出为MP3”就被剥离。
至于任何担心隐私的人——一位持异见的记者,或一位匿名的艺术家,不应该仅仅为了证明一份文件是真实的,就必须在上面附上自己的法定姓名。C2PA支持化名声明和选择性披露。一位艺术家可以把一首曲目签署为“已验证创作者#892”,与一份由可信第三方签发的凭证相关联,而无需透露自己的家庭住址。
为什么不干脆多雇一些审核员?
因为那在经济上是不可能的。研究表明,人类审核员在检测细微差别和上下文方面更准确,但他们的成本几乎是自动化系统的近40倍。而人类的听觉正在变得在生理上力不从心——把一段高质量的AI语音克隆与一段真实录音区分开来,正逼近我们耳朵能力的极限,而对机器来说,这在数学上仍然是可处理的。
行业需要以软件的规模和成本,获得人类判断的细微精准。这正是确定性的水印检测所提供的。水印要么在,要么不在。没有需要解读的置信度分数,没有需要人类审核员来打破平局的概率曲线。这使得完全自动化的处置成为可能——去货币化、标记、下架——并且具备法律级别的确定性。
岔路口
人们有时会问我,是否认为AI会摧毁音乐行业。我不这么认为。我觉得音乐行业不会有事——前提是它不再假装那些为上一个时代打造的工具在这个时代依然管用。
指纹识别是为这样一个世界打造的:内容由人类创作,挑战在于识别副本。而我们如今生活在一个内容由机器创作的世界,挑战在于证明其来源。这是两个根本不同的问题,它们需要根本不同的基础设施。
Spotify对版税支付设定的1,000次播放最低门槛是一块政策创可贴。以用户为中心的付费模式是一种结构性改进。但两者都没有触及根本原因:平台目前无法区分一首新的AI曲目和一首新的人类曲目。在这一点改变之前,其他一切修补都只是下游之举。
生成能力如今已成为一种商品。任何拥有GPU或API密钥的人都能让这条管线泛滥成灾。稀缺性——以及由此而来的价值——已经转移到了来源之上。重要的不是什么被创造出来,而是谁创造了它、如何,以及它是否真实。
AI音乐的未来,不在于哪个模型能生成最动听的旋律。而在于那个能保证这段旋律真实、得到报酬、并获得认可的基础设施。
随着《欧盟AI法案》和美国尚在审议中的深度伪造法规出台,水印正从可选变为必需。问题不在于行业是否会采纳来源标准,而在于它会在版税池被榨干之前、还是之后才采纳。
我知道自己在为这场赌局的哪一边下注。如果你无法给它加上水印,就不要生成它。这不是一句口号。它是让可信的音频互联网成为可能的唯一现实运作准则。
