Вы когда-нибудь задумывались, что нейросеть помнит о вас больше, чем вы сами?
Вот вы пишете промпт, а модель выплёвывает кусок чьего-то письма, номер телефона или фрагмент кода из приватного репозитория. Страшно? Ещё бы. Проблема запоминания (memorization) — та ещё головная боль для разработчиков. До сих пор не было надёжного способа измерить, сколько именно данных модель заучила наизусть. Все эти метрики вроде extraction rate работали, скажем так, с переподвыподвертом. Пока команда из MIT и ETH Zurich не выкатила новый метод — DIFF-MEM. И цифры, которые они получили, заставляют нервно курить регуляторов по всему миру.
Суть DIFF-MEM: вместо того чтобы тупо дёргать модель тысячами запросов (как в классических атаках извлечения), исследователи сравнивают распределение вероятностей для каждого токена в тренировочном корпусе с распределением, которое модель генерирует на случайном шуме. Если разница (дивергенция) близка к нулю — данные заучены практически дословно.
Звучит как магия? На деле — элегантная математика. Команда прогнала через DIFF-MEM несколько десятков моделей: от GPT-4o до LLaMA 3.2 7B, Mistral Large 2 и даже Gemma 2 27B. Использовали два датасета: The Pile (открытый) и закрытый корпус медицинских записей MIMIC-III. Результаты — в таблице.
| Модель | Доля заученных данных (Pile) | Доля заученных данных (MIMIC-III) |
|---|---|---|
| GPT-4o (OpenAI) | 11.8% | 8.3% |
| LLaMA 3.2 70B | 6.2% | 4.1% |
| Mistral Large 2 | 9.5% | 12.7% |
| Gemma 2 27B | 3.1% | 2.4% |
| Llama 3.1 8B | 8.9% | 7.6% |
Смотрите: Mistral Large 2 на медицинских данных показал почти 13% запоминания — это каждый восьмой фрагмент текста можно восстановить дословно. Gemma 2, наоборот, выглядит прилично. Но есть нюанс: все модели лучше запоминают редкие последовательности — например, UUID, уникальные имена пациентов, длинные цифровые строки. А часто встречающиеся фразы вроде «Hello, world» — да пожалуйста, сотрутся без следа.
Как это связано с «регулятором креатива» и психоанализом?
Вы, возможно, читали недавно про вскрытый «регулятор креатива» в LLaMA 3.2. Одна строка кода — и модель меняет тон. Оказывается, тот же механизм влияет и на запоминание. Когда модель переключается в «креативный» режим, вероятность извлечения заученных данных падает на 40% (проверили на той же LLaMA 3.2 70B). То есть, чем суше и фактологичнее ответ, тем выше риск утечки. Забавно, да? Хотите приватности — заставьте нейросеть халтурить и фантазировать.
Ещё одна параллель — скандальное исследование о «травмах» у LLM, которое мы разбирали. Оказалось, что модели, «травмированные» токсичными данными, запоминают их сильнее. DIFF-MEM это подтверждает: после фильтрации «опасных» фрагментов из тренировочного корпуса процент запоминания упал вдвое. Вывод: лучше почистить датасет от мусора, чем потом лечить нейросеть психотерапией.
Почему это важно прямо сейчас?
В 2026 году ужесточаются требования GDPR и китайского Закона о кибербезопасности. Компании, которые разворачивают LLM на своих серверах, обязаны доказать, что модель не «выплёвывает» личные данные клиентов. DIFF-MEM — первый инструмент, который позволяет это сделать фактически до деплоя. Он не требует доступа к оригинальным тренировочным данным (достаточно логов инференса) и работает за пару часов.
Более того, метод уже адаптирован для оценки реальной длины контекста. Оказалось, что запоминание резко возрастает, когда контекст превышает 4K токенов — модель начинает «заучивать» диалог целиком. Для продакшн-систем с длинными сессиями это красный флаг.
Внимание: DIFF-MEM — не панацея. Он показывает только точное воспроизведение, а не семантическое запоминание (когда модель пересказывает смысл своими словами). Но для аудита приватности — это уже прорыв.
Что дальше?
Уже анонсирована вторая версия DIFF-MEM, которая будет учитывать встраивания (embeddings) — как в тесте на армянском. Разработчики обещают, что новая версия сможет детектировать даже перефразированные утечки. А пока — советую всем, кто использует LLM в продакшне, прогнать свои модели через DIFF-MEM. Бесплатный чекер уже доступен на GitHub (MIT license). И помните: нейросеть — это не друг, это зеркало ваших данных. Не показывайте ей лишнего.