Destilação de modelos de linguagem: é possível provar o roubo de conhecimento por meio de um chat

No mundo dos grandes modelos de linguagem, está surgindo um conflito que se assemelha às guerras de patentes na farmacêutica—com a diferença de que em vez de moléculas, é o conhecimento empacotado em bilhões de parâmetros que é roubado. Uma pesquisa recente publicada no Habr levanta uma questão provocadora: é possível, simplesmente conversando com um modelo de linguagem em um chat, determinar que ele foi treinado usando destilação na saída de dados de outro modelo? O autor acredita que sim. E se estiver certo, isso muda as regras do jogo para toda a indústria.

Para entender o contexto, é preciso voltar ao escândalo que explodiu alguns meses antes. Anthropic—os criadores do Claude—acusou publicamente desenvolvedores chineses de sistematicamente destilar seu modelo. A essência das acusações era que engenheiros da China estavam massivamente usando a API Claude, coletando suas respostas para treinar seus próprios modelos. Anthropic afirmou que descobriu isso através do monitoramento de contas: analisando padrões de requisições, histórico de uso e conexões de contas com empresas chinesas. A base de evidências foi construída no nível de infraestrutura—quem, quando e quantas requisições foram enviadas.

Mas o autor da pesquisa tomou um caminho completamente diferente. Ele se perguntou: e se as evidências estivessem escondidas não nos registros dos servidores, mas no próprio modelo? Destilação é um processo em que um pequeno modelo aluno é treinado para reproduzir o comportamento de um grande modelo professor. Essencialmente, é compressão de conhecimento: em vez de treinar um modelo em terabytes de dados brutos, o desenvolvedor o alimenta com respostas prontas de um sistema mais poderoso. O modelo aluno não apenas adota fatos, mas também características estilísticas, cadeias lógicas, expressões características e até erros do professor. São precisamente esses traços—uma espécie de "impressões digitais"—que o pesquisador tentou detectar através do chamado auto-relato do modelo.

A metodologia parece elegante em sua simplicidade. Se um modelo foi treinado nas respostas do Claude, ele pode involuntariamente reproduzir padrões característicos do Claude: formulações específicas de recusa, estrutura de raciocínio reconhecível, certos marcos éticos que Anthropic incorpora em seu produto. Isso é semelhante a como um linguista pode determinar de onde uma pessoa é pela fala—exceto que aqui estamos falando da "região de treinamento" de uma rede neural. O autor da pesquisa afirma ter descoberto tais marcadores, embora faça uma ressalva importante: os resultados são preliminares e não podem servir como prova legal.

Essa ressalva não é meramente cortesia de rotina, mas um reflexo de um problema fundamental. Os modelos de linguagem permanecem em grande medida caixas pretas até mesmo para seus criadores. Ninguém pode dizer com absoluta certeza por que um modelo produziu exatamente aquela resposta. A coincidência de padrões estilísticos pode ser resultado de destilação, ou pode ser consequência do treinamento em dados semelhantes de fontes abertas. Dois modelos treinados nos mesmos artigos científicos e livros inevitavelmente se assemelharão um ao outro, e isso não tem nada a ver com roubo de propriedade intelectual.

Obstante, a direção da pesquisa em si é extremamente promissora. A indústria precisa urgentemente de ferramentas para verificar a origem dos modelos. Hoje o mercado está inundado de modelos de código aberto, muitos dos quais lidam suspeitosamente bem com tarefas que teoricamente requerem recursos computacionais significativamente maiores. Se os métodos de "perícia linguística" para redes neurais forem aperfeiçoados, isso pode se tornar a base para uma nova direção—a forense de IA, criminologia digital no mundo da inteligência artificial.

Para grandes laboratórios como OpenAI, Anthropic e Google DeepMind, as apostas são colossal. Treinar modelos de fronteira custa centenas de milhões de dólares, e se concorrentes podem alcançar qualidade comparável por uma fração desses custos através de destilação, todo o modelo econômico desmorona. Não é coincidência que os acordos de usuário da maioria dos grandes provedores já contenham proibições explícitas sobre o uso de dados de saída para treinar modelos concorrentes. Mas uma proibição sem um mecanismo para detectar violações é apenas palavras no papel.

A pesquisa, apesar de sua natureza preliminar, aponta para um futuro onde os modelos carregarão traços indeléveis de sua origem. Talvez com o tempo, os desenvolvedores comecem a incorporar deliberadamente marcas d'água escondidas em seus modelos—padrões únicos de respostas que não podem ser removidos através de destilação. Algumas empresas já estão experimentando tais técnicas. Se esses métodos se tornarem confiáveis, o mundo do desenvolvimento de IA ganhará algo que criticalmente lhe falta agora: um mecanismo de responsabilidade. Por enquanto, a indústria se equilibra numa linha tênue entre troca aberta de conhecimento e proteção de investimentos—e essa linha fica mais tênue a cada mês que passa.