Watermark a livello di interazione per rilevare la distillazione della conoscenza degli LLM

Un recente preprint su arXiv (2605.16462v1) introduce watermark anti-distillazione a livello di interazione, mirati a identificare la distillazione non autorizzata della conoscenza dalle API degli LLM in uso. Le attuali misure protettive, come i watermark basati su liste verdi e le tecniche crittografiche, sono suscettibili ad attacchi di parafrasi che eliminano i segnali pur mantenendo la conoscenza. Questo nuovo approccio sposta la traccia nei modelli di interazione del teacher utilizzando un prompt di sistema che occasionalmente induce indicatori comportamentali, come richieste di follow-up esplicite, variazioni a bassa frequenza o riformulazioni dichiarative. Un distillatore inconsapevole adotta questi comportamenti, consentendo al difensore di effettuare audit tramite query black-box con un LLM convalidato dall'uomo che funge da giudice. Questo metodo affronta il problema della mancanza di controllo del difensore sul processo di addestramento dell'attaccante e sui logit del token successivo.