Sobre los Límites Probatorios de la Inferencia de Membresía para la Auditoría de Derechos de Autor
On the Evidentiary Limits of Membership Inference for Copyright Auditing
January 19, 2026
Autores: Murat Bilgehan Ertan, Emirhan Böge, Min Chen, Kaleel Mahmood, Marten van Dijk
cs.AI
Resumen
A medida que los modelos de lenguaje grande (LLM) se entrenan con corpus cada vez más opacos, se han propuesto ataques de inferencia de membresía (MIA) para auditar si se utilizaron textos protegidos por derechos de autor durante el entrenamiento, a pesar de las crecientes preocupaciones sobre su fiabilidad en condiciones realistas. Nos preguntamos si los MIAs pueden servir como prueba admisible en disputas de derechos de autor adversarias, donde un desarrollador de modelos acusado podría ofuscar los datos de entrenamiento preservando el contenido semántico, y formalizamos este escenario mediante un protocolo de comunicación juez-fiscal-acusado. Para probar la robustez bajo este protocolo, presentamos SAGE (Extracción Guiada por SAE con Conciencia Estructural), un marco de paráfrasis guiado por Autoencoders Dispersos (SAE) que reescribe los datos de entrenamiento para alterar la estructura léxica mientras preserva el contenido semántico y la utilidad subsiguiente. Nuestros experimentos muestran que los MIAs de vanguardia se degradan cuando los modelos se ajustan con paráfrasis generadas por SAGE, lo que indica que sus señales no son robustas a transformaciones que preservan la semántica. Aunque persiste cierta filtración en ciertos regímenes de ajuste fino, estos resultados sugieren que los MIAs son frágiles en entornos adversarios e insuficientes, por sí solos, como mecanismo independiente para la auditoría de derechos de autor de LLMs.
English
As large language models (LLMs) are trained on increasingly opaque corpora, membership inference attacks (MIAs) have been proposed to audit whether copyrighted texts were used during training, despite growing concerns about their reliability under realistic conditions. We ask whether MIAs can serve as admissible evidence in adversarial copyright disputes where an accused model developer may obfuscate training data while preserving semantic content, and formalize this setting through a judge-prosecutor-accused communication protocol. To test robustness under this protocol, we introduce SAGE (Structure-Aware SAE-Guided Extraction), a paraphrasing framework guided by Sparse Autoencoders (SAEs) that rewrites training data to alter lexical structure while preserving semantic content and downstream utility. Our experiments show that state-of-the-art MIAs degrade when models are fine-tuned on SAGE-generated paraphrases, indicating that their signals are not robust to semantics-preserving transformations. While some leakage remains in certain fine-tuning regimes, these results suggest that MIAs are brittle in adversarial settings and insufficient, on their own, as a standalone mechanism for copyright auditing of LLMs.