著作権監査におけるメンバーシップ推論の証拠的限界について

要旨

大規模言語モデル（LLM）の学習データが不透明化するにつれ、学習過程で著作権保護されたテキストが使用されたかどうかを監査する手段として、メンバーシップ推論攻撃（MIA）が提案されている。しかし現実的な条件下での信頼性に対する懸念が高まる中、本論文では、被告となるモデル開発者が意味内容を保持しつつ学習データを難読化する可能性のある敵対的著作権紛争において、MIAが証拠として採用され得るかを問う。この設定を、裁判官-検察-被告の通信プロトコルを通じて形式化する。本プロトコル下での頑健性を検証するため、スパースオートエンコーダ（SAE）に導かれたパラフレーズフレームワークSAGE（Structure-Aware SAE-Guided Extraction）を提案する。SAGEは語彙構造を変更しつつ意味内容と下流タスクの有用性を保持する訓練データの書き換えを実現する。実験結果から、SAGE生成パラフレーズでファインチューニングされたモデルに対して、最新のMIAの性能が劣化することが示され、その信号が意味保存的変換に対して頑健ではないことが明らかとなった。特定のファインチューニング体制ではある種の情報漏洩が残存するものの、これらの結果はMIAが敵対的環境では脆弱であり、LLMの著作権監査における単独の仕組みとして不十分であることを示唆している。

English

As large language models (LLMs) are trained on increasingly opaque corpora, membership inference attacks (MIAs) have been proposed to audit whether copyrighted texts were used during training, despite growing concerns about their reliability under realistic conditions. We ask whether MIAs can serve as admissible evidence in adversarial copyright disputes where an accused model developer may obfuscate training data while preserving semantic content, and formalize this setting through a judge-prosecutor-accused communication protocol. To test robustness under this protocol, we introduce SAGE (Structure-Aware SAE-Guided Extraction), a paraphrasing framework guided by Sparse Autoencoders (SAEs) that rewrites training data to alter lexical structure while preserving semantic content and downstream utility. Our experiments show that state-of-the-art MIAs degrade when models are fine-tuned on SAGE-generated paraphrases, indicating that their signals are not robust to semantics-preserving transformations. While some leakage remains in certain fine-tuning regimes, these results suggest that MIAs are brittle in adversarial settings and insufficient, on their own, as a standalone mechanism for copyright auditing of LLMs.

著作権監査におけるメンバーシップ推論の証拠的限界について

On the Evidentiary Limits of Membership Inference for Copyright Auditing

要旨

Support