Content Credentials (C2PA) w praktyce — jak sprawdzić, czy plik ma znacznik AI, i jak nie zgubić własnego [TUTORIAL]

W poprzednim przewodniku rozłożyliśmy na części art. 50 AI Act — od 2 sierpnia 2026 r. treści generowane przez AI mają być oznaczone „w formacie nadającym się do odczytu maszynowego". W praktyce tym formatem są w ogromnej większości Content Credentials, czyli metadane oparte na otwartym standardzie C2PA (Coalition for Content Provenance and Authenticity), rozwijanym m.in. przez Adobe, Microsoft, Google, Intel i BBC. Dziś tutorial: jak sprawdzić dowolny plik, jak czytać wyniki i — co równie ważne — jak nie skasować własnych znaczników w codziennym workflow.

Czym właściwie są Content Credentials?

Najprościej: to cyfrowa etykieta składu doczepiona do pliku, zabezpieczona kryptograficznie przed manipulacją (tamper-evident). Manifest C2PA zapisuje m.in.:

• claim generator — jaki program stworzył lub edytował plik (np. „ChatGPT", „Adobe Photoshop"),
• historię działań — co po kolei robiono z plikiem (generowanie, kadrowanie, retusz),
• znaczniki AI — informację, że treść została wygenerowana lub zmodyfikowana przez model,
• składniki (ingredients) — z jakich plików źródłowych powstał kolaż czy montaż,
• podpis cyfrowy i znacznik czasu — kto podpisał manifest i kiedy.

Kluczowa cecha: manifestu nie da się niepostrzeżenie podrobić. Można go za to usunąć — i o tym pułapka w dalszej części.

Krok 1. Weryfikacja w przeglądarce (2 minuty, zero instalacji)

1. Zdobądź oryginalny plik — nie screenshot i nie wersję przepuszczoną przez komunikator (o tym za chwilę).
2. Wejdź na oficjalną weryfikatkę standardu: contentcredentials.org/verify (to samo narzędzie działa pod adresem verify.contentauthenticity.org).
3. Przeciągnij plik na stronę. Analiza odbywa się w przeglądarce — plik nie jest wysyłany na serwer, więc możesz bezpiecznie sprawdzać także materiały poufne.
4. Czytaj wynik: zobaczysz, czy podpis jest ważny, jakie narzędzie wygenerowało plik, czy jest znacznik AI i jaka jest historia edycji.

Protip: jeśli chcesz zobaczyć surowy manifest w JSON (przydatne przy debugowaniu własnych plików), użyj niezależnych podglądarek typu c2paviewer.com — pokażą pełną strukturę łącznie z podpisami. Obsługiwane formaty to przede wszystkim JPEG, PNG, TIFF, WebP oraz wideo MP4/MOV.

Krok 2. Weryfikacja z konsoli — c2patool

Jeśli sprawdzasz pliki seryjnie (np. całą bibliotekę grafik przed publikacją), klikanie po stronach jest bez sensu. Społeczność Content Authenticity Initiative utrzymuje oficjalne, otwarte narzędzie CLI — c2patool (napisane w Ruście, binarki do pobrania z GitHuba contentauth):

# podstawowy odczyt manifestu
c2patool grafika.jpg

# pełny, szczegółowy JSON
c2patool grafika.jpg --detailed

# zapis manifestu do pliku
c2patool grafika.jpg --output manifest.json

# cała partia naraz
c2patool *.jpg

Jeśli plik nie ma danych C2PA, narzędzie zwróci błąd — to też jest informacja: brak manifestu nie znaczy „zrobił człowiek", znaczy tylko „brak metryki". c2patool potrafi też sprawdzać zaufanie do certyfikatu podpisującego (podkomenda trust z listami zaufanych wystawców) — przyda się, gdy zaczniesz podpisywać własne pliki.

Krok 3. Wiedz, czego szukasz — kto faktycznie dodaje C2PA (stan: czerwiec 2026)

• Dodają: OpenAI (obrazy z ChatGPT/DALL·E — OpenAI dokłada też niewidzialny watermark i udostępnia własny weryfikator), Adobe Firefly i cały pakiet Adobe, Google (Imagen; równolegle stosuje własny niewidzialny znak wodny SynthID).
• Nie dodają lub dodają niekonsekwentnie: Midjourney (na początku 2026 r. wciąż bez C2PA!), Stable Diffusion i większość modeli open-source uruchamianych lokalnie.

Wniosek praktyczny dla twórcy premium: nie możesz polegać na tym, że „generator coś tam dodał". Jeśli Twój pipeline opiera się na Midjourney, znacznik maszynowy musisz zapewnić sam (np. dodając manifest przez c2patool z flagą AI w działaniach) albo przynajmniej rzetelnie oznaczać treść wizualnie i w opisie — zgodnie z art. 50.

Krok 4. Największa pułapka: platformy kasują metadane

To najczęstsze zaskoczenie w testach: Instagram, Facebook, X i TikTok przy rekompresji uploadu wycinają metadane, łącznie z manifestem C2PA. Chlubne wyjątki to m.in. LinkedIn i część serwisów newsowych, które manifesty zachowują. Co z tego wynika:

1. Screenshot = śmierć manifestu. Zrzut ekranu to nowy plik bez żadnej historii. Do weryfikacji zawsze proś o plik źródłowy.
2. Komunikatory też kompresują. Zdjęcie przesłane przez WhatsApp/Messenger zwykle traci metryczkę.
3. Twoje własne oznaczenia giną po drodze. Jeśli compliance z art. 50 opierasz wyłącznie na metadanych, po wrzuceniu na Instagrama formalnie zostajesz bez oznaczenia maszynowego. Dlatego unijny projekt Kodeksu postępowania (pisaliśmy o nim w poprzednim artykule) zaleca podejście wielowarstwowe: metadane plus widoczna informacja dla odbiorcy.

Krok 5. Workflow dla twórcy — wersja do wdrożenia dziś

1. Archiwizuj oryginały. Trzymaj pliki prosto z generatora (z manifestem) w osobnym folderze — to Twój dowód pochodzenia i historia edycji.
2. Eksportuj świadomie. Sprawdź w swoim edytorze, czy przy zapisie nie ma opcji „usuń metadane" zaznaczonej domyślnie (częste w optymalizatorach obrazków na strony WWW!).
3. Testuj swój pipeline raz, nie zgaduj. Przepuść jeden plik przez cały proces (generator → edycja → kompresja → publikacja), pobierz wynik z serwisu docelowego i sprawdź go w weryfikatorze. Od razu wiesz, co przeżywa, a co ginie.
4. Dubluj warstwy. Metadane + widoczny podpis („Grafika wygenerowana przez AI") + informacja w opisie publikacji. Trzy warstwy = spokojny sen po 2 sierpnia.
5. Weryfikuj cudze materiały przed udostępnieniem. Wiralowe „zdjęcie" przed podaniem dalej przeciągnij na contentcredentials.org/verify — 30 sekund, a chroni Twoją wiarygodność (pamiętaj tylko, że brak manifestu niczego nie przesądza).

Podsumowanie

Content Credentials to dziś najbliższe „standardowi przemysłowemu" narzędzie realizujące wymóg maszynowego oznaczania z art. 50 AI Act — ale działa tylko wtedy, gdy wiesz, gdzie się rwie łańcuch: screenshoty, kompresja, social media. Weryfikacja zajmuje 2 minuty w przeglądarce albo jedną komendę w terminalu; reszta to dyscyplina workflow. W kolejnym materiale z tej serii: jak podpisać własne pliki manifestem C2PA krok po kroku.

Źródła: contentcredentials.org, dokumentacja c2patool (Content Authenticity Initiative), OpenAI Help: C2PA w obrazach z ChatGPT, c2paviewer.com — przewodnik weryfikacji.

Tekst powstał z pomocą AI i przeszedł weryfikację redakcyjną człowieka. Grafiki: wygenerowane przez AI (Gemini).