О границах доказательной силы вывода о принадлежности к обучающей выборке при проверке на нарушение авторских прав
On the Evidentiary Limits of Membership Inference for Copyright Auditing
January 19, 2026
Авторы: Murat Bilgehan Ertan, Emirhan Böge, Min Chen, Kaleel Mahmood, Marten van Dijk
cs.AI
Аннотация
По мере того как большие языковые модели (БЯМ) обучаются на всё более непрозрачных корпусах, для проверки использования защищенных авторским правом текстов в процессе обучения были предложены атаки методом вывода членства (МВЧ), несмотря на растущие опасения относительно их надежности в реальных условиях. Мы исследуем, могут ли МВЧ служить допустимыми доказательствами в состязательных спорах об авторских правах, где обвиняемый разработчик модели может обфусцировать обучающие данные, сохраняя семантическое содержание, и формализуем эту ситуацию с помощью протокола взаимодействия судьи, обвинителя и обвиняемого. Для проверки устойчивости в рамках этого протокола мы представляем SAGE (Structure-Aware SAE-Guided Extraction) — фреймворк парафразирования на основе разреженных автокодировщиков (SAE), который переписывает обучающие данные, изменяя лексическую структуру при сохранении семантического содержания и практической полезности. Наши эксперименты показывают, что современные МВЧ теряют эффективность, когда модели дообучаются на парафразах, сгенерированных SAGE, что свидетельствует о неустойчивости их сигналов к семантически сохраняющим преобразованиям. Хотя в некоторых режимах дообучения сохраняется некоторая утечка, эти результаты указывают на хрупкость МВЧ в состязательных условиях и их недостаточность в качестве самостоятельного механизма аудита авторских прав для БЯМ.
English
As large language models (LLMs) are trained on increasingly opaque corpora, membership inference attacks (MIAs) have been proposed to audit whether copyrighted texts were used during training, despite growing concerns about their reliability under realistic conditions. We ask whether MIAs can serve as admissible evidence in adversarial copyright disputes where an accused model developer may obfuscate training data while preserving semantic content, and formalize this setting through a judge-prosecutor-accused communication protocol. To test robustness under this protocol, we introduce SAGE (Structure-Aware SAE-Guided Extraction), a paraphrasing framework guided by Sparse Autoencoders (SAEs) that rewrites training data to alter lexical structure while preserving semantic content and downstream utility. Our experiments show that state-of-the-art MIAs degrade when models are fine-tuned on SAGE-generated paraphrases, indicating that their signals are not robust to semantics-preserving transformations. While some leakage remains in certain fine-tuning regimes, these results suggest that MIAs are brittle in adversarial settings and insufficient, on their own, as a standalone mechanism for copyright auditing of LLMs.