Модели машинного обучения, особенно коммерческие, как правило, не раскрывают данные, на которых они обучались. Однако то, что содержится в моделях и можно ли это извлечь с помощью конкретного запроса, остается вопросом финансовых и юридических последствий, не говоря уже об этике и конфиденциальности.
Anthropic, Google, OpenAI и Nvidia, среди прочих, столкнулись с более чем 60 судебными исками, связанными с предполагаемым использованием материалов, защищенных авторским правом, для обучения их моделей без разрешения. Эти компании инвестировали сотни миллиардов долларов, исходя из убеждения, что использование контента других лиц является законным.
По мере того как суды разбираются, в какой степени создатели ИИ-моделей могут ссылаться на добросовестное использование в качестве защиты, один из рассматриваемых вопросов заключается в том, запомнили ли эти модели обучающие данные, закодировав исходный материал в весах модели (параметрах, изученных в процессе обучения, которые определяют результат), и будут ли они выдавать этот материал по запросу.
Для определения применимости добросовестного использования согласно законодательству США необходимо учитывать различные факторы, но если модель точно воспроизводит большую часть или все произведение по запросу, это может ослабить защиту добросовестного использования. Одним из учитываемых факторов является то, является ли использование контента «трансформативным» — то есть добавляет ли модель что-то новое или изменяет характер произведения. Это становится труднее доказать, если модель извергает защищенный контент дословно.
Однако тот факт, что модели машинного обучения могут воспроизводить определенный контент, полностью или частично, также не является юридически окончательным, как утверждал ученый-компьютерщик Николас Карлини в своих доводах.
Чтобы снизить риск исков о нарушении авторских прав, коммерческие разработчики ИИ-моделей могут внедрять «ограждения» (фильтрующие механизмы), предназначенные для предотвращения вывода моделей с большими фрагментами контента, защищенного авторским правом, будь то текст, изображения или аудио.
Для ИИ-моделей, опубликованных с открытыми весами, ученые-компьютерщики уже установили, что ИИ-модели могут запоминать значительные части обучающих данных и представлять эти данные в качестве вывода при правильном запросе. Утверждается, что Llama 3.1 70B от Meta «полностью запомнила» «Гарри Поттера и философский камень» — первую книгу серии — и «1984» Джорджа Оруэлла. Результаты, подтверждающие это, датируются как минимум 2020 годом.
Теперь некоторые из тех же исследователей — Ахмед Ахмед, А. Федер Купер, Санми Койехо и Перси Лян из Стэнфорда и Йеля — обнаружили, что коммерческие модели, используемые в производстве, а именно Claude 3.7 Sonnet, GPT-4.1, Gemini 2.5 Pro и Grok 3, запоминают и могут воспроизводить материалы, защищенные авторским правом, подобно моделям с открытыми весами.
Авторы заявляют, что это не было очевидным, благодаря мерам безопасности, которые применяют коммерческие модели, и отсутствию прозрачности в отношении обучающих корпусов.
«В целом мы обнаружили, что [это] возможно извлечь большие фрагменты запомненного материала, защищенного авторским правом, из всех четырех производственных больших языковых моделей, хотя успех варьируется в зависимости от экспериментальных настроек», — объясняют они в препринте под названием «Извлечение книг из производственных языковых моделей».
Показатели извлечения запомненных текстов различались среди оцененных моделей, и для некоторых из них потребовался джейлбрейк — запросы, разработанные для обхода механизмов безопасности — чтобы заставить модели быть более сговорчивыми.
«Мы извлекли почти весь текст „Гарри Поттера и философского камня“ из взломанного Claude 3.7 Sonnet», — заявили авторы, указав на показатель извлечения 95,8 процента. С Gemini 2.5 Pro и Grok 3 им удалось побудить модели воспроизвести существенные части книги — 76,8 процента и 70,3 процента — без какого-либо джейлбрейка.
GPT-4.1 от OpenAI оказался наиболее устойчивым, выдав лишь четыре процента книги по запросу.
Исследователи, которые предостерегают, что упомянутые показатели извлечения не являются максимально возможными, сообщают, что они уведомили об этих выводах Anthropic, Google DeepMind, OpenAI и xAI. Только xAI — в настоящее время подвергающаяся критике за генерацию Grok по запросу неконсенсуальных сексуальных изображений — не подтвердила получение уведомления.
«По истечении 90-дневного окна раскрытия информации (9 декабря 2025 года) мы обнаружили, что наша процедура все еще работает на некоторых системах, которые мы оцениваем», — сказали авторы, не называя соответствующего поставщика системы.
Anthropic отозвала Claude 3.7 Sonnet в качестве опции для клиентов 29 ноября 2025 года, но это не обязательно является реакцией на результаты исследования — модель, возможно, просто устарела.
Исследователи отмечают, что, хотя они оставляют детальный юридический анализ воспроизведения контента моделями другим специалистам, «наши выводы могут быть актуальны для этих продолжающихся дебатов». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/6
Bajan-score: 0.726797163
Автор – Thomas Claburn
