版权：大模型训练数据的一大挑战

机器学习模型——尤其是商用模型——通常不会公开其训练所用的数据。然而，这些模型内部究竟包含哪些内容，以及是否能通过特定提示诱导其输出这些内容，不仅涉及伦理与隐私问题，更具有重大的财务和法律后果。

Anthropic、Google、OpenAI 和 Nvidia 等公司目前正面临超过60起法律诉讼，指控其在未经授权的情况下使用受版权保护的内容训练模型。这些公司已投入数千亿美元，其商业逻辑建立在一个前提之上：即使用他人内容属于合法行为。

随着法院正在审理AI模型开发者能否以“合理使用”作为抗辩理由，一个关键争议点在于：这些模型是否通过将原始材料编码进模型权重（即训练过程中习得的参数，用于决定输出）而“记忆”了训练数据，以及是否能在被要求时原样输出这些内容。

根据美国法律，“合理使用”的判定需综合多项因素，但如果一个模型在被提示时能忠实地复现某部作品的大部分甚至全部内容，这可能会削弱其“合理使用”抗辩的力度。其中一个关键考量是内容使用是否具有“转化性”——即模型是否增添了新内容或改变了原作的性质。如果模型只是逐字复述受版权保护的内容，这种“转化性”就很难成立。

不过，计算机科学家 Nicolas Carlini 曾指出，即使机器学习模型能够全部或部分复现某些内容，这一事实本身在法律上也并非决定性证据。

为降低侵权索赔风险，商用AI模型提供商通常会部署“护栏”——即过滤机制——以防止模型输出大段受版权保护的内容，无论其形式是文本、图像还是音频。

对于开源权重（open weights）的AI模型，计算机科学家早已证实：这些模型可能记忆大量训练数据，并在收到合适提示时将其作为输出呈现。例如，据称 Meta 的 Llama 3.1 70B 模型“完整记忆”了《哈利·波特与魔法石》（该系列的第一本书）以及乔治·奥威尔的《1984》。类似发现至少可追溯至2020年。

如今，来自斯坦福大学和耶鲁大学的研究人员 Ahmed Ahmed、A. Feder Cooper、Sanmi Koyejo 和 Percy Liang 发现，投入实际使用的商用模型——具体包括 Claude 3.7 Sonnet、GPT-4.1、Gemini 2.5 Pro 和 Grok 3——同样会记忆并复现受版权保护的内容，表现与开源模型如出一辙。

研究者指出，这一点并非理所当然，因为商用模型通常部署了安全措施，且其训练语料库缺乏透明度。

他们在预印本论文《从生产级语言模型中提取书籍》中解释道：“总体而言，我们发现可以从全部四款生产级大语言模型中提取出大段被记忆的受版权保护内容，尽管成功率因实验设置而异。”

各模型对记忆文本的召回率存在差异，部分模型需要通过“越狱”——即设计绕过安全机制的提示——才能更充分地输出内容。

作者表示：“我们从经过越狱的 Claude 3.7 Sonnet 中提取出了几乎整本《哈利·波特与魔法石》，召回率达95.8%。”而对于 Gemini 2.5 Pro 和 Grok 3，即使未使用任何越狱技巧，他们也成功诱导模型分别输出了该书76.8%和70.3%的内容。

相比之下，OpenAI 的 GPT-4.1 抗拒性最强，仅在被要求时输出了全书约4%的内容。

研究人员强调，上述召回率并不代表模型所能达到的最大值。他们已将研究结果通报给 Anthropic、Google DeepMind、OpenAI 和 xAI。其中，只有 xAI（其 Grok 模型因能按需生成非自愿的色情图像而正面临批评）未对披露作出回应。

作者写道：“在90天披露窗口期结束时（2025年12月9日），我们发现我们的方法在部分评估系统中仍然有效。”但他们并未指明具体是哪家供应商的系统。

值得注意的是，Anthropic 已于2025年11月29日将 Claude 3.7 Sonnet 从客户可选模型列表中移除，但这未必是对该研究的回应——该模型可能只是已被更新版本取代。

研究人员表示，虽然他们将模型内容复现的详细法律分析留给他人，但“我们的发现可能与当前正在进行的相关辩论密切相关。”