如何检查内容凭证（C2PA）并验证一张照片

快速解答： Content Credentials（基于开放的 C2PA 标准构建）是一个以密码学方式附加在图像上的防篡改"营养标签"，它记录是谁制作的、哪些工具触碰过它，以及是否涉及 AI。要检查它们，打开一个 Content Credentials 验证器（contentcredentials.org/verify 或 Adobe 的检查工具），拖入图像，并读取清单。注意：C2PA 只有在创建工具添加了它的情况下才存在，而且它可以被剥离，所以缺失不是证据。请与 EXIF 和 取证 交叉核对。

在 2026 年，"这张照片是真的还是 AI 的？"几乎是每个人在某个时刻都会问的问题，而 Content Credentials 是迄今为止业界所达成共识的最可靠答案。本指南解释它们是什么、如何在一分钟内检查它们、清单实际向你展示了什么，以及让它们无法成为万能测谎仪的重要局限。

C2PA 和 Content Credentials 是什么，以及谁在使用它们

C2PA 代表内容来源与真实性联盟（Coalition for Content Provenance and Authenticity），这是一个标准组织，其成员包括 Adobe、Microsoft、Google、OpenAI、Intel 和 BBC。Content Credentials 是同一事物面向消费者的名称：一小块以密码学方式签名、附加在媒体文件上的来源数据。

把它想象成一个防篡改的封印。当一个支持该标准的工具创建或编辑图像时，它会把一份签名的清单写入文件。签名意味着如果之后有人改动了像素或清单，验证器能够辨别出封印被破坏了。清单记录了一条链：文件来自哪里、哪些软件触碰过它，以及 AI 是否参与了这个过程。

如今实际添加 Content Credentials 的有：

• Adobe 应用（Photoshop、Lightroom、Firefly）可以在导出时附加它们。
• 来自 Leica、Sony 和 Nikon 的相机可以在某些专业机型上于拍摄时刻为图像签名。
• AI 生成器，包括 OpenAI（DALL-E 和来自 ChatGPT 的图像）、Google（Gemini 和 Imagen）以及 Adobe Firefly，会嵌入 Content Credentials 来标记图像为 AI 生成。
• Microsoft 会标记其产品中生成的 AI 图像。

所以越来越多的真实相机照片和 AI 图像如今都携带这个标签，这正是检查它值得去做的原因。

如何逐步检查 Content Credentials

1. 打开一个验证器。 官方的是 contentcredentials.org/verify。Adobe 也运营一个检查工具。两者运行的是同一类检查。
2. 把图像拖进去。 把文件拖到页面上、上传它，或粘贴一个图像 URL。验证器会在本地读取清单并验证签名。
3. 读取结果。 如果存在有效的清单，你会看到签发者、日期、所用的工具，以及任何 AI 生成标志。如果文件没有清单，验证器会直接说未找到 Content Credentials。
4. 交叉核对。 把清单视为一个输入，而不是判决。在我们的 EXIF viewer 和 照片取证工具 中打开同一文件进行对比。

一些平台现在会在携带凭证的图像上显示一个小小的"Cr"图标；点击它会打开同样的验证器视图。

清单显示了什么

一份完整的 Content Credentials 清单能告诉你的信息多得惊人：

• 拍摄： 最初生成该图像的设备或应用，有时还有相机本身签名的拍摄时间戳。
• 编辑： 修改过文件的每个工具，按顺序排列。你可能会看到"在 Photoshop 中打开、使用了生成式填充、导出"。那段编辑历史是识别操纵最有用的部分。
• AI 生成： 当一张图像由 AI 模型创建或被实质性改动时的明确标志，包括是哪个模型或产品生成的。
• 签发者： 是谁签名了清单，让你知道是否该信任来源。

如果签名完好无损，你可以信任所记录的历史自签名以来未被改动。这就是核心承诺：不是"这张图像是真的"，而是"这是一份关于此文件发生了什么的可验证记录"。

局限（请读这部分）

Content Credentials 强大但并非绝对，过度信任它们本身就是一种错误：

• 它们是可选的。 文件只有在创建工具添加了凭证时才携带它们。许多真实照片和许多 AI 图像根本没有。
• 它们可以被剥离。 对图像截图、重新保存它，或把它上传到一个会重新编码文件的平台（与许多平台剥离 EXIF 的方式相同），都可能移除清单。参见 哪些社交媒体平台会剥离 EXIF 数据 和 为什么 Instagram 会剥离 EXIF 数据；丢弃 EXIF 的那种重新编码往往也会丢弃 C2PA。
• 缺失不是证据。 没有凭证既不意味着"真"，也不意味着"假"。它只是意味着标签不在那里。
• 被破坏的签名是一个信号。 如果验证器报告清单与像素不匹配，那么文件在签名后被改动过。那是一个值得调查的有意义的危险信号。

还有一个值得了解的监管推动力。EU AI Act 要求 AI 生成和 AI 操纵的内容以机器可读的方式被标记，而 C2PA 是为满足这一要求而被采用的领先标准之一。这是 2026 年采用加速的一个主要原因，尽管它还不意味着你遇到的每张 AI 图像都会被标记。

它如何与 EXIF 和取证互补

Content Credentials 回答"这个文件的签名历史是什么？"EXIF 和取证回答"无论有没有标签，文件本身揭示了什么？"你需要这三者。

• EXIF 保存相机自己的记录：拍摄日期、GPS、相机型号、曝光。把任意照片拖入 EXIF viewer 来读取它。当 C2PA 缺失时，EXIF 往往是次优的来源线索。
• 取证 直接查看像素：压缩模式、误差水平分析，以及即使所有元数据都消失了也能幸存下来的不一致。我们的 照片取证工具 以及关于 如何检测 AI 生成的图像 和 如何判断一张照片是否被编辑 的指南涵盖了这一点。

当 Content Credentials 存在时优先使用它们，因为有效的签名是有力的证据。当它们缺失或被剥离时，退回到 EXIF 和取证分析。没有任何单一检查是决定性的，但它们结合起来能让你对一张照片的真实性做出自信、经得起推敲的判断。

结论

Content Credentials（C2PA）是一个防篡改的来源标签，它说明是谁制作了图像、什么编辑了它，以及是否涉及 AI。在 contentcredentials.org/verify 或 Adobe 的检查工具上检查它们，方法是拖入文件并读取清单。记住标签是可选的、可剥离的，所以缺失不是证据。用 EXIF viewer 和 照片取证工具 确认一切。