如何檢查 Content Credentials (C2PA) 並驗證一張照片

快速解答： Content Credentials（建立在開放的 C2PA 標準之上）是一個防竄改的「營養標示」，以密碼學方式附加在影像上，記錄是誰製作的、哪些工具觸碰過它，以及是否有 AI 參與。要檢查它們，開啟一個 Content Credentials 驗證器（contentcredentials.org/verify 或 Adobe 的 inspect 工具）、把影像丟進去，並讀取 manifest。注意：C2PA 只有在建立工具加入它時才存在，而且它可以被清除，所以缺席不是證明。請與 EXIF 及 鑑識 交叉比對。

在 2026 年，「這張照片是真的還是 AI？」是幾乎每個人在某個時刻都會問的問題，而 Content Credentials 是業界目前所達成共識中最可靠的答案。本指南解釋它們是什麼、如何在一分鐘內檢查它們、manifest 實際上向你顯示什麼，以及那些讓它們無法成為神奇測謊器的重要限制。

C2PA 與 Content Credentials 是什麼，以及誰在用它們

C2PA 代表 Coalition for Content Provenance and Authenticity（內容來源與真實性聯盟），這是一個標準組織，成員包括 Adobe、Microsoft、Google、OpenAI、Intel 與 BBC。Content Credentials 是同一件事面向消費者的名稱：一個附加在媒體檔案上、經過密碼學簽署的小型來源資料區塊。

把它想成一個防竄改的封印。當一個支援此標準的工具建立或編輯一張影像時，它會把一份簽署過的 manifest 寫進檔案。簽章意味著如果有人之後改動了像素或 manifest，驗證器能辨別出封印被破壞了。這份 manifest 記錄了一條鏈：檔案從哪裡來、哪個軟體觸碰過它，以及 AI 是否是過程的一部分。

今天實際上有誰會加入 Content Credentials：

• Adobe 應用程式（Photoshop、Lightroom、Firefly）可以在匯出時附加它們。
• 來自 Leica、Sony 與 Nikon 的相機在某些專業機型上能於拍攝的那一刻簽署影像。
• 包括 OpenAI（DALL-E 與來自 ChatGPT 的影像）、Google（Gemini 與 Imagen）與 Adobe Firefly 在內的 AI 生成器，會內嵌 Content Credentials 來標記影像為 AI 生成。
• Microsoft 會標記在其產品中產生的 AI 影像。

所以現在越來越大比例的真實相機照片與 AI 影像都帶有這個標籤，這正是讓檢查它變得值得的原因。

如何一步步檢查 Content Credentials

1. 開啟一個驗證器。 官方的是 contentcredentials.org/verify。Adobe 也經營一個 inspect 工具。兩者執行的是同一種檢查。
2. 把影像丟進去。 把檔案拖到頁面上、上傳它，或貼上一個影像 URL。驗證器會在本地讀取 manifest 並驗證簽章。
3. 讀取結果。 如果存在一份有效的 manifest，你會看到簽發者、日期、使用的工具，以及任何 AI 生成標記。如果檔案沒有 manifest，驗證器只會說沒有找到 Content Credentials。
4. 交叉比對。 把 manifest 當作一項輸入，而非定論。在我們的 EXIF 檢視器 與 Photo Forensics 工具 中開啟同一個檔案來比較。

有些平台現在會在帶有 credentials 的影像上顯示一個小小的「Cr」圖示；點選它會開啟相同的驗證器檢視。

manifest 顯示什麼

一份完整的 Content Credentials manifest 能告訴你的東西多得驚人：

• 拍攝： originated 此影像的裝置或 App，有時還有一個由相機本身簽署的拍攝時間戳記。
• 編輯： 每個修改過檔案的工具，依順序排列。你可能會看到「在 Photoshop 中開啟、使用了 generative fill、匯出」。那段編輯歷程是用來識別操作最有用的部分。
• AI 生成： 當一張影像由 AI 模型建立或大幅改動時，會有一個清楚的標記，包括是哪個模型或產品產生的。
• 簽發者： 是誰簽署了這份 manifest，這樣你就知道是否該信任來源。

如果簽章完好，你可以信任記錄的歷程自簽署以來未被改動。那就是核心的承諾：不是「這張影像是真的」，而是「這是一份關於這個檔案發生了什麼事的可驗證紀錄」。

限制（請讀這部分）

Content Credentials 很強大，但並非絕對，而過度信任它們本身就是一種錯誤：

• 它們是選擇性的。 一個檔案只有在建立工具加入 credentials 時才帶有它們。許多真實照片與許多 AI 影像根本沒有。
• 它們可以被清除。 對一張影像截圖、重新儲存它，或把它上傳到一個會重新編碼檔案的平台（就和許多平台清除 EXIF 的方式一樣），都能移除 manifest。請參閱 哪些社群媒體平台會清除 EXIF 資料 與 為什麼 Instagram 會清除 EXIF 資料；丟掉 EXIF 的同一種重新編碼，往往也會丟掉 C2PA。
• 缺席不是證明。 沒有 credentials 不代表「真的」，也不代表「假的」。它只意味著標籤不在那裡。
• 破損的簽章是一個訊號。 如果驗證器回報 manifest 與像素不符，那這個檔案在簽署之後被改動過了。那是一個值得調查、有意義的警訊。

還有一股值得知道的法規順風。EU AI Act 要求 AI 生成與 AI 操作的內容必須以機器可讀的方式被標記，而 C2PA 是為達成此要求而被採納的主要標準之一。那是 2026 年採用率加速的一大原因，雖然它還不代表你遇到的每張 AI 影像都會被標記。

它如何與 EXIF 及鑑識互補

Content Credentials 回答「這個檔案經過簽署的歷程是什麼？」EXIF 與鑑識回答「不管有沒有標籤，檔案本身揭露了什麼？」三者你都會想要。

• EXIF 持有相機自己的紀錄：拍攝日期、GPS、相機型號、曝光。把任何照片丟進 EXIF 檢視器 來讀取它。當 C2PA 缺失時，EXIF 往往是次佳的來源線索。
• 鑑識 直接查看像素：壓縮模式、error level analysis，以及即使所有中繼資料都消失了仍存留的不一致。我們的 Photo Forensics 工具 以及關於 如何偵測 AI 生成的影像 與 如何判斷一張照片是否被編輯過 的指南涵蓋了這些。

當 Content Credentials 存在時先用它們，因為一個有效的簽章是有力的證據。當它們缺席或被清除時，退而求助於 EXIF 與鑑識分析。沒有任何單一檢查是決定性的，但它們合在一起能讓你對一張照片的真實性得出有信心、站得住腳的判讀。

結論

Content Credentials (C2PA) 是一個防竄改的來源標籤，說明是誰製作了一張影像、什麼編輯過它，以及是否有 AI 參與。在 contentcredentials.org/verify 或 Adobe 的 inspect 工具上檢查它們，把檔案丟進去並讀取 manifest。記得這個標籤是選擇性且可被清除的，所以缺席不是證明。用 EXIF 檢視器 與 Photo Forensics 工具 確認一切。