El 32 de gener: com saber si una IA s'ha entrenat amb el teu contingut, i provar-ho

Today

Also available in Spanish, English.

Tenia una intuïció i va resultar que ja estava publicada. La idea era simple: si marco el meu contingut abans de publicar-lo, i un model d'IA s'hi entrena, aquest model se n'hauria de portar la marca a dins. I si algú agafa aquest model per entrenar-ne un altre, un de xinès per exemple, el nou també. Un rastre que es propaga per la cadena de models com una tinta radioactiva.

La segona part de la intuïció era el portador. La manera més tossuda de plantar aquest rastre no és criptografia ni metadades. És una mentida impossible ficada dins d'una frase normal. "Avui, 32 de gener de 2026, s'ha descrit un nou fong." El 32 de gener no pot existir. Si reapareix dins de la teva frase en qualsevol altre lloc, l'única font plausible ets tu.

Em vaig posar a investigar per tombar les meves pròpies idees, que és l'única manera de saber si valen. La majoria de la gent dona per fet que demostrar que una IA s'ha entrenat amb el teu material és impossible sense obrir el model en canal. Jo estava convençut del contrari. La investigació em va donar la raó en l'essencial, i em va obligar a ser honest amb els límits. Els dos importen.

La marca d'aigua d'un LLM existeix, i es detecta comptant

Començo pel mecanisme, perquè sense ell res de la resta no s'aguanta. Marcar el text que genera un model és un problema resolt des de 2023. El treball seminal és de Kirchenbauer et al. (ICML 2023). Abans de cada token, el model mira el token anterior, el barreja amb una clau secreta i parteix el vocabulari en dos: una "llista verda" i la resta. Puja una mica la probabilitat dels tokens verds, i el model acaba triant gairebé sempre verd. En llegir no es nota. La distribució canvia just el necessari.

Detectar és encara més barat. Agafes el text sospitós, recalcules la llista verda amb la clau i comptes quants tokens verds hi ha. Si n'hi ha molts més dels que dictaria l'atzar, tens la teva prova: un test estadístic que retorna un p-valor. Kirchenbauer reporta z per sobre de 4 i p a prop de 10⁻⁶. No cal el model. Només el text i la clau.

Diagrama: en generar, el vocabulari es parteix en llista verda i resta amb una clau secreta, i el model tria gairebé sempre verd. En detectar, es compten els verds i un test estadístic dona un p-valor sense necessitat del model.

Marcar és barat i la prova és purament estadística. La mateixa espina mecànica sosté tot el camp. Font: recreació pròpia sobre Kirchenbauer et al., ICML 2023.

Això no és teoria de pissarra. Google va desplegar SynthID-Text dins de Gemini i el va validar sobre uns 20 milions de respostes reals sense caiguda perceptible de qualitat, publicat a Nature el 2024. Hi ha famílies senceres de variants: unes que no toquen gens la distribució de sortida (els esquemes "distortion-free" d'Aaronson i de Kuditipudi et al.), altres robustes al parafraseig per semàntica (SIR), altres que fiquen un missatge sencer de 32 bits i no només un bit (MPAC). El camp és madur en el costat del proveïdor.

Però això marca la sortida d'un model. La meva intuïció anava d'una altra cosa: marcar el meu corpus, del costat del propietari del contingut, abans que cap model el toqui.

Radioactivitat: el rastre que passa d'un model a un altre

La meva teoria té nom acadèmic, i és de Meta. Es diu radioactivitat. Sander et al., presentat com a spotlight a NeurIPS 2024, demostren just el que jo sospitava: si un model A emet text marcat i un model B s'hi entrena, la marca deixa un residu detectable a B.

Els marges són enormes. Amb accés obert als pesos i sense supervisió, el rastre es detecta amb p menor que 10⁻⁵ quan només el 5 % de les dades d'entrenament van marcades. En el cas supervisat baixa a p menor que 10⁻³⁰ amb tot just un 1 %. El terme el va encunyar Sablayrolles et al. el 2020 per a imatges, on n'hi havia prou amb un 1 % de dades marcades per a p menor que 10⁻⁴. I sobreviu al preentrenament des de zero, no només al fine-tuning: Sander ho va confirmar entrenant models de 1.000 milions de paràmetres amb 10.000 milions de tokens.

Diagrama de la cadena: un document marcat entrena el Model A amb rastre fort, que destil·la un Model B amb rastre feble, que destil·laria un Model C sense mesurar. Tiles amb p menor que 10⁻⁵ al 5 per cent, p menor que 10⁻³⁰ a l'1 per cent, i el senyal dividit per 2 amb una neteja.

Un salt està demostrat. La cadena sencera és frontera oberta. Font: recreació pròpia sobre Sander et al., NeurIPS 2024, i Gu et al., ICLR 2024.

Aquí és on toca mullar-se amb honestedat, que és el que separa un article seriós d'un fullet. El salt únic A→B està demostrat. La cadena A→B→C no l'ha mesurat ningú. Tots els papers de radioactivitat mesuren un sol salt. Cap comprova empíricament que la marca sobrevisqui a un segon entrenament encadenat. I l'evidència adjacent avisa de decaïment, no de propagació intacta:

  • Una segona passada de neteja sobre el mateix model ja divideix per 2 la significància (Sander, secció de purificació). No és una tercera generació, és netejar el mateix B.
  • Gu et al. (ICLR 2024) mostren que una marca destil·lada als pesos no sobreviu a un segon fine-tuning amb text net. El mecanisme que portaria la marca a un model destil·lat és fràgil just davant del tipus d'entrenament que implica una cadena.
  • Cinc reescriptures encadenades en inferència tomben la detecció a al voltant del 4,9 % (Chainwash, 2026).

El cas real que tothom cita, DeepSeek acusat de destil·lar d'OpenAI, tampoc no és una marca rastrejada. S'ajuda de similitud d'estil, al voltant del 74 %, i de patrons de trànsit. Cap font seriosa no diu res més: avui no hi ha mètode per provar-ho de manera concloent. I aquesta és exactament la raó per la qual marcar de manera proactiva importa. Si OpenAI hagués marcat la seva sortida des del principi, la prova seria molt més neta.

Així que la tesi honesta és aquesta: el teu contingut entrena el model A i el rastre apareix a A, això és sòlid i vendible. La cadena sencera és una frontera oberta fascinant. Presentar-ho així és més fort, no més feble, perquè planteges una hipòtesi que la ciència encara no ha tancat.

La teva millor tinta invisible és una mentida: el 32 de gener

Qualsevol que hagi trastejat amb esteganografia pensa primer en caràcters invisibles: espais d'amplada zero, lletres ciríl·liques que semblen llatines, marques Unicode que l'ull no veu. És elegant. Per a aquest problema és un error.

Les canonades que preparen les dades abans d'entrenar estan fetes justament per esborrar aquesta capa. La tokenització i la normalització Unicode es mengen els caràcters invisibles i els homòglifs abans que el model els vegi. AWS i Cisco els tracten directament com a superfície d'atac i els filtren per defecte. La teva marca desapareix en el primer filtre.

La data impossible va pel camí contrari. No s'amaga en els bytes, s'amaga en el significat. "32 de gener" són tokens perfectament ordinaris. El "32" és un únic token estable en els tokenitzadors de GPT-4 (cl100k i o200k fan servir la regex \p{N}{1,3}), i el "2026" es parteix sempre igual en [202, 6] (tiktoken; Singh i Strouse, 2024). Al tokenitzador li és igual que el dia 32 no existeixi: el tracta com tractaria el 30. La raresa és en el sentit, no en els bytes.

Taula del pipeline d'entrenament. La tinta invisible passa l'extracció de metadata però mor en la normalització Unicode. El 32 de gener passa totes les etapes: metadata, normalització, deduplicació, filtre de qualitat i tokenització, i arriba dins del model.

El pipeline esborra bytes i metadata, no significat. Un valor impossible viatja sobre tokens ordinaris. Font: recreació pròpia, síntesi de la literatura de tokenització i pipelines de dades.

I això no és nou, que és el millor que té. Els cartògrafs fa un segle que planten pobles que no existeixen per caçar copiadors. El més famós, Agloe (Nova York), era l'anagrama de les inicials de dos dibuixants. Els diccionaris fan el mateix amb paraules falses: "esquivalience" es va colar a propòsit al New Oxford American Dictionary de 2001. L'acadèmia ja ho va portar als models de llenguatge amb nom propi, "copyright traps" (Meeus et al., ICML 2024), i als diccionaris els diuen mountweazels. Hi ha fins i tot jurisprudència: a Feist contra Rural (Tribunal Suprem dels Estats Units, 1991), la guia copiada incloïa quatre entrades fictícies plantades per enxampar còpies. Tornem a Feist més avall, perquè té una lletra petita que convé saber-se.

El mur de la memorització

Aquí arriba el matís que decideix si això és una joguina o una eina. Marcar és trivial. Detectar exigeix que el model s'hagi après la marca, i els models només memoritzen el que veuen moltes vegades.

Els números de Meeus són durs. Una frase fictícia de 100 tokens repetida 1.000 vegades es detecta amb un AUC de 0,748. La mateixa frase de 25 tokens, per molt que la repeteixis, es queda en 0,557, gairebé l'atzar. Una sola aparició és pràcticament indetectable. Wei, Wang i Jia (Findings of ACL 2024) van posar el llistó en un model gegant: una marca estadística és detectable a BLOOM-176B si apareix almenys 90 vegades. Els "ghost sentences" de Zhao et al. demanen almenys 10 repeticions per a una memorització fiable.

Heatmap del mur de la memorització: longitud de la trampa per nombre de repeticions. Amb 100 tokens i mil repeticions, AUC 0,748 detectable. Amb 25 tokens, 0,557, gairebé atzar. La columna d'una sola aparició es queda en 0,5.

Marcar és trivial; detectar exigeix memorització: cal longitud i repetició. Font: recreació pròpia sobre Meeus et al., ICML 2024, amb dades de Wei et al. i Zhao et al.

Hi ha dues trampes més pel camí. La primera és la deduplicació: si repeteixes la marca per creuar el llindar, el dedup te la pot esborrar, tret que facis servir variació difusa que canviï uns tokens a cada còpia (Mosaic Memory: amb quatre substitucions sobre deu repeticions, l'AUC amb prou feines cau de 0,90 a 0,87). La segona és una paradoxa preciosa: com més rara fas la marca perquè es memoritzi millor, més risc tens que el filtre de qualitat la descarti per rara. La mateixa perplexitat que ajuda a detectar (Meeus troba una correlació de r igual a 0,715) pot fer que el document es llenci abans d'entrar.

Quin portador triar, i per què el semàntic guanya

El model d'amenaça del propietari de contingut és estret: publico text escrit per humans i vull provar després que un model gran s'hi va entrenar. Això elimina dues famílies senceres. Els portadors de generació (que marquen la sortida d'un model, no el teu corpus) i els de format (zero-width, homòglifs, que el pipeline esborra). El que queda ha de complir quatre coses: sobreviure al pipeline, ser detectable després de l'entrenament, ser sigilós i aguantar en un judici.

La família correcta és la semàntica: fets ficticis, mountweazels, valors impossibles. Sobreviu per construcció i és legalment inequívoc. La data impossible guanya en supervivència, sigil i defensa legal, i només perd en memorització si és única o curta. Com pujar-la de nivell a la pràctica: repeteix el valor en molts documents, fes-lo més llarg i distintiu (combina la data amb una frase única al voltant, tipus passphrase), i desplega diverses trampes independents perquè la probabilitat conjunta d'inclusió innocent col·lapsi.

Si pots publicar una variant reescrita, hi ha esquemes distribucionals que superen els traps crus. STAMP genera diverses reescriptures watermarkades del mateix contingut, en publica una i guarda les altres, i després compara la perplexitat del model sobre la pública contra les privades amb un t-test. Detecta contaminació a menys del 0,001 % dels tokens vistos una vegada, i no depèn que el model reciti la data exacta. LexiMark substitueix paraules rares per sinònims encara més rars, explotant que els LLMs memoritzen tokens rars, i puja l'AUROC de membership del 79 % al 90-97 %.

El sostre: cap marca forta no és inesborrable

Toca l'avís incòmode. El watermarking de text és la modalitat menys robusta de totes, i té un sostre teòric demostrat.

Zhang et al., "Watermarks in the Sand" (ICML 2024), proven que cap watermarking fort no és irrompible davant d'un adversari amb un oracle de qualitat i un oracle de pertorbació, tots dos realitzables amb un altre LLM. Val fins i tot amb clau secreta. I la pràctica ho confirma. Un atacant pot reenginyar les regles de la llista verda consultant l'API pública per menys de 50 dòlars, i amb això falsifica o esborra la marca amb més del 80 % d'èxit. El parafraseig recursiu amb DIPPER col·lapsa la detecció: el TPR a l'1 % de falsos positius cau del 99,8 % al 9,7 % amb poca pèrdua de qualitat.

Per això la indústria i la regulació combinen capes en lloc de fiar-ho tot al watermark. I per això l'honestedat tècnica no és un adorn aquí, és el producte. Qui et vengui una bala de plata t'està venent fum.

Hi ha una segona meitat del problema que convé anomenar: el fingerprinting de models, identificar el model en si i no marcar la seva sortida. És l'eina del cas "el model B ve del model A". Els fingerprints de representació com REEF aguanten fine-tuning, pruning i merging; els plantats com Instructional Fingerprinting persisteixen a través del fine-tuning en 11 models. El punt feble de tots, un altre cop, és la destil·lació.

La radioactivitat depèn de l'arquitectura, i el text és el terreny fèrtil

Una troballa de 2025 que reforça la tesi per un flanc inesperat. Meintz et al. estudien la radioactivitat en models d'imatge i troben que els watermarks de difusió no es retenen: el latent i el soroll els esborren, així que un difusor entrenat amb imatges marcades no reprodueix la marca. Van haver d'inventar el primer mètode per a models d'imatge autoregressius, prenent-lo prestat del watermarking d'LLMs.

La lliçó es llegeix sola: la radioactivitat depèn de l'arquitectura, i l'autoregressiva, la del text, és la que la conserva. El terreny on la meva intuïció funciona millor és justament el del llenguatge.

L'idioma canvia el joc, i el català és una arma de doble tall

Un detall que a nosaltres ens toca de prop. La força de la detecció no és igual en tots els idiomes. A la Taula 6 de Sander, la detecció creuada és potentíssima en anglès (log₁₀ del p-valor per sota de −50) i la més fluixa de totes en català (−2,1), amb l'espanyol a −5,7 i el francès a −7,8 pel mig. Els idiomes amb menys dades tenen menys cobertura en el model, i a sobre els detectors comercials estan afinats en anglès.

Però hi ha cara B. Les cadenes rares es memoritzen amb més força per instància (Shared Path, 2025). Una frase catalana rara i anòmala és un text gairebé únic al món, amb una línia base natural a prop de zero. Si el model se la empassa, la grava fort, i qualsevol reaparició és una prova contundent. Són dues quantitats diferents: la potència de detecció d'un watermark distribucional propagat, on el català perd, i la memorització per instància si el text és a l'entrenament, on la raresa guanya. Per a un creador en català la jugada és tirar de canari literal i contundent, la data impossible, més que d'una marca estadística subtil, i sondejar en català, no en anglès.

Els tribunals ja han vist això

El watermarking no viu en el buit legal. Viu enmig de la major onada de plets de copyright de la història recent.

  • Bartz contra Anthropic (ND Cal., 2025) va acabar en l'acord més gran de la història del copyright als Estats Units: un mínim de 1.500 milions de dòlars, uns 3.000 per obra sobre mig milió de llibres. El jutge Alsup va dictaminar que entrenar amb llibres comprats legalment és fair use, però descarregar còpies pirates de LibGen no ho és.
  • NYT contra OpenAI segueix en discovery, i la memorització és l'evidència central: l'Exhibit J recull al voltant de 100 exemples de regurgitació gairebé literal.
  • Feist contra Rural és el matís crític. El Tribunal Suprem va dictar que els fets no són copyrightables, només l'expressió original, i Feist incloïa quatre entrades fictícies plantades per Rural. Traduït al nostre cas: una data falsa prova la còpia com a empremta forense, però la trampa en si sovint no és protegible. La solució és incrustar-la dins de prou expressió original i fer-ne servir diverses.

La regulació empeny

No és un debat d'acadèmics, per dos motius que han mogut el tauler.

La Xina obliga a etiquetar i marcar el contingut generat per IA des de l'1 de setembre de 2025, i és el primer país a fer-ho, amb etiqueta explícita i implícita (metadata o watermark amb el nom del proveïdor). L'article 50 del Reglament d'IA europeu entra en vigor el 2 d'agost de 2026, i obliga els proveïdors a marcar les sortides d'IA, inclòs el text, en format llegible per màquina. La postura del Codi de Pràctiques és clara: cap tècnica única no basta, cal combinar capes. El mateix NIST, en el seu document AI 100-4, reconeix que el watermarking de text és la modalitat menys robusta i recomana combinar-lo amb provenance i detecció. L'estàndard de metadata signada, C2PA, ja és ISO/IEC 22144.

Ja val diners

El "per què" comercial de tota aquesta línia. Aparèixer dins de les respostes de la IA ja porta negoci, i es pot mesurar. Segons l'estudi de Similarweb amb dades de juliol a desembre de 2025, les marques recomanades per ChatGPT reben 2,5 vegades més visites en els set dies següents. El trànsit de referral de ChatGPT converteix al 7,1 %, només per darrere del cercador de pagament. I la dada que més m'agrada: el 55,9 % del trànsit influït per IA arriba a través de la cerca, no com a referral directe, així que la teva analítica t'enganya i li atribueix a search el que va originar la IA.

Si el teu contingut ja treballa dins d'aquests models i et porta clients, poder marcar-lo, rastrejar-lo i defensar-ne la propietat passa de curiositat tècnica a interès de negoci.

L'altra porta: no si et recorden, si et citen

Fins aquí tot va de la mateixa porta: el teu contingut entrena el model i la marca es queda a dins. Però hi ha una segona porta, i és la que més ens toca en la feina de cada dia.

Els models ja no només s'entrenen amb text i el guarden. Cada cop més, surten a buscar en el moment de respondre. ChatGPT amb cerca, les AI Overviews de Google, Perplexity, Copilot. No et memoritzen, et van a buscar i et citen. I això canvia la pregunta. Amb GEORadar mesurem com et veuen aquests models per fora: si t'anomenen, si et recomanen, amb quanta quota davant de la teva competència. El watermarking és la cara B de la mateixa moneda. No "em veuen?", sinó "soc jo la font que estan llegint, i ho puc demostrar?".

Diagrama del canary token: el teu web serveix un token únic per cada bot, els scrapers d'IA se l'emporten, els sistemes de cerca d'IA el serveixen en respondre, i si un motor retorna el teu token exacte queda provada la cadena scraper a model. Taula de dues portes: entrenament contra recuperació.

La cara complementària del watermarking: no exigeix que et memoritzin. Font: recreació pròpia sobre Seiden et al., 2026.

Aquí la marca d'aigua canvia de forma. No necessites que el model s'aprengui la teva frase de memòria, amb el seu mur de repeticions. Necessites un rastre que puguis seguir quan el model surt a buscar i retorna el teu material. Això ja existeix, i té un nom poc glamurós: tokens canari. Serveixes un identificador únic, diferent per a cada bot que et rastreja, i després preguntes als sistemes de cerca d'IA. Si un escup el teu token, has provat la cadena sencera. Un treball de 2026 ho va fer contra una vintena de sistemes, Claude, ChatGPT, Gemini, Copilot, Perplexity i DeepSeek entre ells (Seiden et al.). La diferència amb la data impossible és neta: la data prova que et van entrenar, és lenta i mira cap al passat del model; el canari prova que et van llegir i et van servir, és ràpid i no necessita memorització. I mentre esperes, pots fer servir les eines d'avui: robots.txt, el protocol TDMRep que el mateix Reglament europeu reconeix com a mitjà llegible per màquina, o el Pay-Per-Crawl de Cloudflare, que des de juliol de 2025 bloqueja els crawlers d'IA per defecte i cobra l'accés amb un HTTP 402.

Què estem construint a sobre d'això

La teoria no es queda en el paper. A 498A, el laboratori d'I+D de Zoopa, estem mirant com es converteix en producte, i l'exercici és revelador perquè gairebé totes les idees viuen o moren en el mateix detall: marcar és fàcil, detectar exigeix memorització. Tret de les que juguen en la superfície de recuperació, que se salten aquest mur. En mirem cinc. Tres s'aguanten, una cal reenquadrar-la i una es descarta.

La més sòlida tècnicament és una capa de confiança per al mercat de llicències de dades. Els grans laboratoris compren dades cada cop més. Si vens el teu arxiu a un, com saps que un altre no el fa servir gratis? Aquí el corpus és enorme i repetit, així que creua el llindar de memorització de sobres i la radioactivitat funciona gairebé de fàbrica.

La més propera al nostre ADN és una capa d'evidència per a mitjans. Marcar cada article en publicar-se, guardar un registre notarial amb segell de temps de les marques, i treure informes forenses quan apareix un model contaminat. El bo és que el segell de temps no depèn que la detecció surti perfecta: és la cadena de custòdia que fa creïble qualsevol reclamació. El precedent Feist mana: la trampa prova la còpia, però necessites provar quan la vas plantar.

La de més recorregut és un laboratori forense per al Reglament d'IA. El regulador exigeix transparència sobre dades d'entrenament però no té eines de verificació independent. Un tercer neutral que auditi per als reguladors i verifiqui el compliment als propis laboratoris. Ningú no es fia d'un lab que s'audita a si mateix, i aquest buit és el fossat. Depèn que l'article 50 entri en vigor i de cicles de venda lents, així que és sostre alt i recorregut llarg.

La idea de marcar els documents interns d'una empresa per caçar filtracions cal reenquadrar-la: com a prova que un lab es va entrenar amb un document únic és feble, perquè una sola aparició cau sota el llindar. Viu millor en la superfície de recuperació, amb canary tokens i logs d'auditoria, on el valor és la cadena de custòdia i no la marca. I la idea de marcar la sortida d'una API per vendre-la als propis laboratoris la descartem: ja existeix i està ocupada pels grans. És exactament GINSEW (ICML 2023) i SynthID. Viu en el costat del proveïdor de model, no del propietari del contingut.

Per a S.A.M., la nostra eina d'alineament semàntic, tot això estén la pràctica a un segon eix. Mesuràvem com et veuen els models per fora. Ara es tracta també de si el teu contingut és a dins, i si ho pots provar. El que no prometrem és caçar una marca a través d'una cadena de destil·lació, ni detectar la filtració d'un document únic. L'honestedat tècnica és part del producte, no una nota al peu.

El mur, el sostre, i per què val la pena igual

Recapitulo sense vendre fum, que crec que ho he repetit a cada secció. Marcar suma quan el contingut és teu, de nínxol, repetible, i busques defensa proactiva i una prova amb data. Resta quan esperes que una sola marca sigui prova blindada, quan confies que aguanti una cadena de destil·lacions, o quan vols caçar un document únic que apareix una vegada. En aquests casos la física de la memorització juga en contra teu.

El que més em fascina de tot això és el poc sofisticat que és. La resposta a un dels problemes més moderns que hi ha, saber si una intel·ligència artificial es va entrenar amb el teu material, la van inventar uns dibuixants de mapes fa un segle ficant un poble que no existia. El 32 de gener és l'Agloe dels models de llenguatge.

No és una bala de plata. És una capa. Però és una capa que gairebé ningú no té, en un moment en què el teu contingut ha començat a treballar gratis dins de màquines que no controles, la regulació ja obliga a marcar a la Xina i ho farà a Europa a l'agost, i aparèixer dins de ChatGPT ja et porta clients de veritat. Un caràcter invisible l'esborra el sistema sense pensar. Una data que no pot existir només l'esborraria algú que entengui el que està llegint. I hi ha una ironia que m'encanta tancar: un article sobre com provar la còpia no pot fer servir ni una dada sense citar la seva font. Aquí van totes.

Fonts tècniques consultades

Tècniques fundacionals de watermarking

Radioactivitat i propagació per entrenament

Copyright traps, memorització i detecció

El sostre teòric, atacs i fingerprinting

Multimodal, idioma, protecció de dades

Regulació, mercat i context