Sur les limites probatoires de l'inférence d'appartenance pour l'audit des droits d'auteur
On the Evidentiary Limits of Membership Inference for Copyright Auditing
January 19, 2026
papers.authors: Murat Bilgehan Ertan, Emirhan Böge, Min Chen, Kaleel Mahmood, Marten van Dijk
cs.AI
papers.abstract
Alors que les modèles de langage de grande taille (LLM) sont entraînés sur des corpus de plus en plus opaques, les attaques par inférence d'appartenance (MIA) ont été proposées pour vérifier si des textes protégés par le droit d'auteur ont été utilisés lors de l'entraînement, et ce malgré des préoccupations croissantes quant à leur fiabilité dans des conditions réalistes. Nous examinons si les MIA peuvent constituer une preuve admissible dans des litiges adversariaux relatifs au droit d'auteur, où un développeur de modèle accusé pourrait brouiller les données d'entraînement tout en préservant le contenu sémantique, et nous formalisons ce cadre via un protocole de communication juge-procureur-accusé. Pour tester la robustesse dans le cadre de ce protocole, nous présentons SAGE (Structure-Aware SAE-Guided Extraction), un cadre de paraphrase guidé par des autoencodeurs épars (SAE) qui reformule les données d'entraînement pour en altérer la structure lexicale tout en préservant le contenu sémantique et l'utilité en aval. Nos expériences montrent que les MIA de pointe voient leur performance se dégrader lorsque les modèles sont affinés sur des paraphrases générées par SAGE, indiquant que leurs signaux ne sont pas robustes à des transformations préservant la sémantique. Bien qu'une certaine fuite d'information subsiste dans certains régimes d'affinage, ces résultats suggèrent que les MIA sont fragiles dans des contextes adversariaux et insuffisantes, en elles-mêmes, comme mécanisme autonome d'audit du droit d'auteur pour les LLM.
English
As large language models (LLMs) are trained on increasingly opaque corpora, membership inference attacks (MIAs) have been proposed to audit whether copyrighted texts were used during training, despite growing concerns about their reliability under realistic conditions. We ask whether MIAs can serve as admissible evidence in adversarial copyright disputes where an accused model developer may obfuscate training data while preserving semantic content, and formalize this setting through a judge-prosecutor-accused communication protocol. To test robustness under this protocol, we introduce SAGE (Structure-Aware SAE-Guided Extraction), a paraphrasing framework guided by Sparse Autoencoders (SAEs) that rewrites training data to alter lexical structure while preserving semantic content and downstream utility. Our experiments show that state-of-the-art MIAs degrade when models are fine-tuned on SAGE-generated paraphrases, indicating that their signals are not robust to semantics-preserving transformations. While some leakage remains in certain fine-tuning regimes, these results suggest that MIAs are brittle in adversarial settings and insufficient, on their own, as a standalone mechanism for copyright auditing of LLMs.