一張引人注目的編輯風格圖像,呈現隱藏身分訊號被嵌入音訊波形之中的概念,聚焦於音樂與 AI 詐欺領域。
Artificial IntelligenceMusic IndustryTechnology

7,500 萬首假歌從 Spotify 被下架。真正的問題,是那些沒被抓到的。

阿舒托什·辛加爾阿舒托什·辛加爾2026年2月23日12 min

幾個月前,我和一位音樂發行商一起開會,他告訴我一件事,徹底改寫了我看待整個音訊產業的方式。他調出一個儀表板,顯示他們每天的內容匯入管線。「看到這個了嗎?」他一邊說,一邊滑動著一串新上傳的內容,「光是透過我們自己的平台,每天就會收到大約四千首曲目。我估計其中三分之一,都是某個人花在製作這首曲目上的時間,比你今天早上刷牙的時間還短的產物。」

我笑了。他沒有。

他並沒有誇張。光是 Spotify,就大約會收錄 每天多達 100,000 首的新曲目。如果你試著每首只聽 30 秒,光是要聽完單單一天的上傳量,就得連續播放 35 天。而在這股洪流中,有越來越大的一部分,在任何有意義的層面上都稱不上是音樂——它們是由演算法生成的噪音,設計目的就是要從真正在創作藝術的人手中吸走金錢。

這就是我近來在 Veriprajna 傾注心力、念念不忘的音訊浮水印問題。並不是因為浮水印是什麼吸引人的酷炫技術——它不是——而是因為,這個產業所仰賴的其他每一種解決方案,都有一個致命的缺陷,而沒有人願意誠實地把它說出來。

藏在你播放清單裡的 30 億美元竊案

接下來這部分應該會讓你感到憤怒——無論你是音樂人、聽眾,還是只是每月付 $10.99 訂閱串流服務的人。

大多數主流平台向藝人支付報酬的方式,稱為按比例分配模式(pro-rata model)。所有訂閱與廣告收入都會匯入一個龐大的資金池。這個資金池再依平台上的總串流次數來分配。你每一次串流的費率,只是整體中的一小部分。

這意味著,每一次假串流偷走的,不只是平台的錢——它偷走的是每一位真正藝人的錢。當一個機器人農場在 AI 生成的白噪音上刷出十億次播放時,它就墊高了分母。於是每一次串流的分潤對所有人都下降了。你最喜歡的獨立藝人——那個在自己臥室裡花了六個月寫出一張專輯的人——拿到的錢變少了,只因為另一個國家的詐欺集團上傳了一萬段雨聲循環,並讓一整個殭屍網路去播放它們。

業界估計,每年造成的損害高達 20 億至 30 億美元。Deezer 報告指出,AI 生成曲目上有 70% 的播放,在其平台上被標記為詐欺。Spotify 不得不清除超過 7,500 萬首曲目——光是在 2024 與 2025 兩年間——這個數字堪比整部錄製音樂史目錄的規模。

每一次詐欺串流,不只是對平台的竊取。它更是對每一位正當藝人課徵的一種稅,透過不斷縮水的版稅資金池,在無形中被繳走。

我記得 Spotify 那些清除數字公布的那個晚上。我坐在桌前,第一個反應是鬆了一口氣——平台終於認真看待這件事了。大約十分鐘後,我的第二個反應是恐懼。因為 7,500 萬只是他們所抓到的數字。那些漏網之魚呢?

為什麼音訊指紋辨識在 AI 音樂面前會失效?

一張並排比較圖,說明音訊指紋辨識(識別)如何在面對全新的 AI 內容時失效,而音訊浮水印(認證)則透過在創作當下嵌入來源證明而成功。

正是這個問題,促使我開始打造我們如今在打造的東西。而這個答案,一旦你看透了,其實簡單得令人意外。

音樂產業主要的防禦系統,是音訊指紋辨識(audio fingerprinting)——這正是 Shazam、YouTube 的 Content ID 以及大多數版權管理平台背後的技術。指紋辨識的運作方式,是從一段音訊中擷取出感知特徵,再拿它與一個龐大的已知錄音資料庫進行比對。

問題就出在這裡:生成式 AI 不會複製,它會合成。

當一個擴散模型生成一首新曲目時,它創造出的是一段前所未有、從未存在過的波形。任何指紋辨識資料庫裡都沒有可供比對的條目。對 Content ID 來說,一首全新的 AI 垃圾曲目,看起來和一首全新的人類傑作一模一樣。兩者都不過是「未知內容」而已。

我把這稱為「原創性悖論」,這也是為什麼在我們跑完第一輪測試後,我大約有一週睡不著覺。我們拿了一組 AI 生成的曲目——有些明顯是既有藝人作品的衍生,有些則完全嶄新——讓它們通過標準的指紋辨識管線。衍生的那些偶爾會觸發部分比對。那些嶄新的呢?偵測系統一片死寂。連一個標記都沒有。

我的共同創辦人看著結果說:「所以 AI 越擅長原創,我們的偵測就越糟?」是的。一點沒錯。這就是這個陷阱。

指紋辨識是一種識別技術。它告訴你某樣東西「是什麼」。浮水印則是一種認證技術。它告訴你某樣東西「來自何處」。音樂產業一直在用錯的工具。

我在我們的互動式白皮書中,寫過這個區別——以及指紋辨識為何會失效背後的完整技術架構。但簡短的版本是這樣的:指紋辨識是被動的。它需要內容已經存在、並且已被登錄。我們需要的是某種主動的東西——某種能在創作當下就嵌入來源證明的東西。

在我們沒注意的時候,詐欺變得更聰明了

一張流程圖,描繪現代「低調而緩慢」的 AI 音樂詐欺攻擊鏈,從 AI 曲目生成、經由殭屍網路散布,到版稅資金池的榨取。

另一件讓我睡不著的事,是了解到這些詐欺行動如今實際上是怎麼運作的。舊的套路很粗糙:上傳一首曲目,用單一 IP 位址對它灌進數百萬次串流,然後套現。平台在多年前就抓到了這一招。

而新的套路,優雅得令人膽寒。他們稱之為「低調而緩慢」(low and slow)。

詐欺集團不再讓單一首曲目獲得一百萬次假串流,而是利用 AI 生成 一萬首曲目。接著,一個殭屍網路讓每一首曲目都只播放一百次左右。總體的分潤金額是一樣的,但沒有任何一首單曲會觸發爆紅飆升的警報。詐欺就藏身在長尾之中,被龐大體量的正當資料所掩埋。

而這些行動背後的基礎設施,已經達到企業級的水準。我們談的是住宅代理伺服器,透過被入侵的 IoT 裝置來轉送流量,讓每一次串流看起來都像是來自不同的家庭。無頭瀏覽器執行著模仿人類行為的腳本——滑鼠移動、暫停、跳過曲目、搜尋——好騙過互動分析。還有 AI 生成的播放清單,配上經過 SEO 優化的標題,例如「適合寫程式的慵懶 Lo-Fi」,把少數幾首主流藝人的正當熱門歌曲,與數十首垃圾曲目混在一起,藉此偽裝這場詐欺,有時甚至還能騙過平台的推薦演算法,讓它把這些假曲目端到真實聽眾面前。

有一個下午,我和我們的團隊坐在一起,在白板上把這條攻擊鏈畫了出來,這時有人說:「這不是音樂盜版。這是一場金融詐欺,只不過剛好用音訊檔案當作載體而已。」這樣的重新框定,改變了我們的一切。

當你把一首歌透過喇叭播放、再重新錄下來,會發生什麼事?

一張標註說明圖,展示基於自相關的浮水印如何在類比缺口中存活——重複的浮水印區塊會被房間聲學以完全相同的方式扭曲,從而保留它們之間的內部關係。

這正是把真正嚴肅的浮水印技術與其他一切區分開來的技術難題,也是我最引以為傲、我們團隊迎難而上去攻克的一個。

它被稱為類比缺口(Analog Gap)——有時也叫類比漏洞(Analog Hole)。想像一首深偽歌曲在某人的筆電喇叭上播放。聲音在空氣中傳播。有人用手機把它錄了下來。那段錄音被上傳到某個平台。

在這趟旅程中,音訊訊號被破壞的方式,對於資料保存而言簡直是充滿敵意到近乎滑稽的地步。聲音在牆壁、地板與家具之間反彈——麥克風接收到的是直達訊號,外加成千上萬個略有延遲的反射。廉價喇叭會把 300Hz 以下與 15kHz 以上的一切全部切掉。錄音裝置並不知道浮水印從哪裡「開始」,於是整個訊號都失去了同步。

大多數能在 MP3 壓縮——也就是數位缺口——中存活下來的浮水印系統,一進到類比缺口就瞬間陣亡。然而,類比缺口恰恰是最重要的情境:無論是偵測在社群媒體上被分享、在廣播中被播放,或是在即時通話中被擷取的深偽內容。

在找到真正有效的方法之前,我們在這件事上失敗了好幾週。突破在於,我們意識到根本不該把接收到的訊號拿去與某個外部參考比對。相反地,我們在訊號本身之中嵌入一個重複的模式,並運用自相關(autocorrelation)——讓訊號與它自己進行比對。

這麼做之所以巧妙,原因在於:當音訊穿過一個充滿殘響的房間時,整個訊號都會以相同的方式被扭曲。我們重複浮水印中的 A 區塊與 B 區塊,都會被同一組房間聲學抹糊掉。即使絕對訊號被弄得面目全非,它們之間的關係依然留存。偵測器會在一個已知的間隔上,尋找自相關中週期性出現的尖峰,而這個尖峰便確認了浮水印的存在——完全不需要知道原始音訊聽起來是什麼樣子。

實驗室裡曾有那麼一個瞬間——我用「實驗室」這個詞其實很寬鬆,它不過就是一間會議室,裡面有一台筆電,和一顆我們在便利商店買來的藍牙喇叭——我們用那顆爛喇叭播放一首帶有浮水印的曲目,在房間另一頭用手機把它錄下來,然後跑偵測器。當結果回傳為陽性時,我的工程師看著我,非常小聲地說:「這照理不該成功的。」但它成功了。就在那一刻,我知道我們手上有東西了。

攻擊者難道不能乾脆把浮水印移除嗎?

這是每個人提出的第一個質疑,而且它問得對。

老練的攻擊者絕對會嘗試利用 AI 去尋找並剝除浮水印。若以為不會,那就太天真了。這正是為什麼我們的訓練管線,並不只是防禦一份固定的已知攻擊清單,例如「加入雜訊」或「壓縮成 MP3」。我們採用一套對抗式訓練框架——本質上,我們在浮水印系統的旁邊,同時訓練一個攻擊者網路。攻擊者試圖在保持音訊仍可聆聽的前提下摧毀浮水印。編碼器則不斷調整,以求在攻擊中存活。它們在成千上萬次的迭代中反覆進行這場極小化極大(minimax)的博弈,直到浮水印能夠在那些訓練開始時甚至還不存在的攻擊下存活為止。

結果是:我們系統所達到的歸屬準確率,超過 98%,即使在激進的編輯下也不例外——時間伸縮、音高偏移、裁切皆然。就算詐欺者把一段 30 秒的片段剪到只剩 10 秒,偵測器仍能從這個碎片中累積出足夠的統計證據,解碼出來源簽章。

關於展頻嵌入、SVD 分解,以及對抗式抵抗協定的完整技術剖析,請參見我們的研究論文。但關鍵的洞見,並不在於任何單一技術——而在於浮水印存在於音訊的結構之中,而非其表面。你可以把表面噴砂磨去,但結構會留存下來。

為聲音而設的營養標示

浮水印本身只是一個連結。它說的是「這段音訊已被標記」。但被誰標記?為了什麼目的?要建立一個真正的信任生態系,你必須把那個聲學訊號,連結到一個可驗證的身分。

這正是我們與C2PA——內容來源與真實性聯盟(Coalition for Content Provenance and Authenticity)——整合之處,這是一項開放標準,運作起來就像數位內容的一張營養標示。它以密碼學方式記錄下:是誰創造了某項資產、它是如何被創造的(人類還是 AI),以及做過哪些編輯。

僅仰賴中繼資料(metadata)的解決方案,其弱點顯而易見:把一個已簽署的 WAV 檔轉成一般的 MP3,中繼資料標頭就消失了。放到廣播上播放,它也不見了。但我們的浮水印能在這些轉換中存活下來。因此,我們把浮水印當作一種軟性綁定(soft binding)——它攜帶著一個獨一無二的識別碼,指向一份雲端託管的 C2PA 清單(manifest)。剝除中繼資料、轉換格式、透過空氣播放再重新錄製——浮水印依然存續。偵測器擷取出該識別碼,向帳本查詢,並取回完整的來源記錄。

來源證明應該隨著內容一起流動,而不是待在一個標頭裡——那個標頭在有人一點下「匯出為 MP3」的那一刻,就會被剝掉。

至於任何擔心隱私的人——一位異議記者,或一位匿名藝人,不該只為了證明某樣東西是真的,就得把自己的真實姓名附在檔案上。C2PA 支援化名聲明與選擇性揭露。一位藝人可以用「已驗證創作者 #892」的身分為一首曲目簽署,這個身分連結到一份由可信第三方所核發的憑證,而完全不必透露自己的住家地址。

為什麼不乾脆多聘一些審核員就好?

因為這在經濟上根本不可行。研究顯示,人類審核員在偵測細微差異與情境脈絡上更為準確,但他們的成本幾乎要高出 40 倍——相較於自動化系統而言。而人類的聽覺,正變得在生物學上力有未逮——要分辨一個高品質的 AI 語音複製與一段真實錄音,已逼近我們耳朵所能做到的極限,然而對機器而言,這在數學上仍然是可處理的。

這個產業需要的是人類判斷的細膩,但要以軟體的規模與成本來實現。這正是決定性的浮水印偵測所提供的。一個浮水印,要嘛存在,要嘛不存在。沒有需要解讀的信心分數,也沒有需要人類審查員介入來打破平手的機率曲線。這使得完全自動化的處置——取消營利資格、標記、下架——都能以具法律等級的確定性來執行。

岔路口

人們有時會問我,是否認為 AI 會摧毀音樂產業。我不這麼認為。我認為音樂產業會沒事的——只要它別再假裝那些為上一個時代打造的工具,在這個時代仍然管用。

指紋辨識,是為一個內容由人類創造、而挑戰在於辨識複製品的世界所打造的。我們如今身處的世界,內容由機器創造,而挑戰在於證明其來源。這是兩個根本不同的問題,也因此需要根本不同的基礎設施。

Spotify 為版稅支付所設下的 1,000 次串流最低門檻,是一種政策上的 OK 繃。以使用者為中心的付費模式則是一項結構性的改進。但兩者都沒有觸及根本原因:平台目前根本無法分辨一首新的 AI 曲目與一首新的人類曲目之間的差別。 在這一點改變之前,其他每一項修補都只是下游的枝節。

生成能力如今已是一種商品。任何擁有一張 GPU 或一把 API 金鑰的人,都能灌爆這條管線。稀缺性——以及隨之而來的價值——已經轉移到了來源證明之上。重點不在於所創造出來的是 什麼,而在於是 創造了它、如何 創造,以及它是否真實

AI 音樂的未來,重點不在於哪個模型能生成最好的旋律。而在於那套能夠保證這段旋律是真實的、有獲得報酬的、也被認可的基礎設施。

隨著歐盟《AI 法案》以及美國尚待通過的深偽法規,浮水印正從「可有可無」邁向「不可或缺」。問題不在於這個產業會不會採用來源證明標準。而在於它究竟是在版稅資金池被榨乾之前,還是之後才採用。

我很清楚,在這場賭注中,我正押在哪一邊、為哪一邊打造。如果你無法為它加上浮水印,那就別生成它。這不是一句口號。它是讓一個可信任的音訊網際網路成為可能的、唯一的操作現實。

相關研究

同步發佈於

自信打造您的 AI。

與一支在打造新世代企業級 AI 方面擁有深厚經驗的團隊攜手合作。讓我們協助您設計、建置並部署值得信賴的 AI 策略。

Veriprajna 深度科技顧問公司 專精於為醫療、金融及法規監管領域打造攸關安全的 AI 系統。我們的架構均依循既定規範進行驗證,並備有完整的合規文件。