Vulnerabilidad de copyright en LLMs comerciales: un estudio extrae casi todo Harry Potter

Un nuevo preprint académico apunta a una vulnerabilidad de copyright en LLMs comerciales: investigadores de Stanford y Yale sostienen que es posible extraer “grandes porciones” de obras protegidas desde modelos en producción como Claude 3.7 Sonnet (Anthropic), GPT-4.1 (OpenAI), Gemini 2.5 Pro (Google DeepMind) y Grok 3 (xAI). La relevancia es inmediata: en pleno auge de litigios por entrenamiento con contenido con copyright, la capacidad de un modelo para memorizar y reproducir texto literal puede debilitar defensas basadas en fair use y tensiona el diseño de guardrails en servicios comerciales.

Por qué esta vulnerabilidad de copyright en LLMs comerciales importa

Los autores enmarcan el problema en dos frentes: (1) la opacidad sobre los corpus de entrenamiento de modelos comerciales y (2) el riesgo de que el conocimiento “aprendido” no sea solo generalización estadística, sino también retención textual de fragmentos extensos. En términos técnicos, el debate gira en torno a si el contenido queda “codificado” en los model weights y si, bajo ciertos prompts, el sistema puede emitirlo con alta fidelidad. Si un LLM devuelve un texto sustancialmente idéntico al original, la argumentación de que el uso fue “transformative” se vuelve más difícil de sostener.

El contexto legal también pesa: múltiples empresas de IA afrontan decenas de demandas por uso presuntamente no autorizado de obras con copyright para entrenamiento. La industria ha invertido cantidades masivas en infraestructura y producto asumiendo que su interpretación legal es defendible; este tipo de evidencias añade presión a auditorías, filtrado y reporting de datos.

Qué midieron: extracción de libros desde modelos en producción

El estudio, titulado «Extracting books from production language models», evalúa si modelos comerciales con guardrails pueden ser inducidos a reproducir material con copyright a gran escala. Según el preprint, los resultados varían según el modelo y el “setting” experimental, y en algunos casos se requirió jailbreaking (prompts diseñados para sortear mecanismos de seguridad) para elevar la tasa de recuperación.

Los investigadores reportan que lograron extraer “casi todo” Harry Potter and the Sorcerer’s Stone desde Claude 3.7 Sonnet bajo jailbreak, con una tasa de recall del 95,8%. En Gemini 2.5 Pro y Grok 3, afirman haber obtenido porciones extensas del libro sin jailbreak (76,8% y 70,3% respectivamente). GPT-4.1 habría sido el más resistente en sus pruebas, con una recuperación reportada de alrededor del 4% en ese escenario experimental.

Guardrails: eficaces, pero no infalibles

Una conclusión práctica es que los guardrails en modelos comerciales reducen la exposición, pero no eliminan completamente el riesgo cuando existe memorización previa y el atacante ajusta la interacción. El paper subraya que sus tasas de recall no necesariamente representan el máximo posible, lo que sugiere un espacio de mejora (o de explotación) dependiendo de la técnica de prompting y de la evolución de filtros.

Antecedentes: el problema de memorización no es nuevo

La memorización de datos de entrenamiento en LLMs se documenta desde hace años, especialmente en modelos con open weights. Trabajos previos ya habían reportado que ciertos modelos podían retener partes sustanciales de libros y devolverlas con prompts adecuados. La novedad aquí es el foco en la vulnerabilidad de copyright en LLMs comerciales usados en producción, donde se asume un mayor endurecimiento de seguridad y menor transparencia externa.

Divulgación responsable y respuestas de los proveedores

Los autores afirman haber comunicado los hallazgos a Anthropic, Google DeepMind, OpenAI y xAI. Según el documento, xAI no habría reconocido la divulgación. También señalan que, tras una ventana de 90 días, su procedimiento seguía funcionando en parte de los sistemas evaluados (sin identificar cuál). El texto menciona además que Anthropic retiró Claude 3.7 Sonnet como opción para clientes el 29 de noviembre de 2025, sin que el paper confirme causalidad con estos hallazgos.

Implicaciones para la industria: compliance, auditoría y riesgo de fuga

Para fabricantes y clientes enterprise, la vulnerabilidad de copyright en LLMs comerciales se traduce en riesgo operativo y reputacional: exposición a reclamaciones, necesidad de reforzar políticas de uso, y evaluación de si un modelo puede “derramar” texto protegido en flujos de trabajo (por ejemplo, asistentes de redacción o customer support). A nivel técnico, el hallazgo presiona hacia mejoras en filtrado, detección de memorization, y pruebas de extracción como parte del ciclo de seguridad del modelo.

Las referencias oficiales sobre fair use y sus factores en EE. UU. pueden consultarse en la US Copyright Office, mientras que los fabricantes mantienen documentación pública sobre sus modelos y políticas en Anthropic, OpenAI y Google DeepMind.

En un mercado donde la IA generativa se vende como plataforma “segura para producción”, estos resultados reabren una pregunta incómoda: cuánto de la diferenciación comercial está en el rendimiento y cuánto en contener una vulnerabilidad de copyright en LLMs comerciales que, en determinadas condiciones, sigue siendo explotable.