Tenia una intuïció i va resultar que ja estava publicada. La idea era simple: si marco el meu contingut abans de publicar-lo, i un model d'IA s'hi entrena, aquest model se n'hauria de portar la marca a dins. I si algú agafa aquest model per entrenar-ne un altre, un de xinès per exemple, el nou també. Un rastre que es propaga per la cadena de models com una tinta radioactiva.
La segona part de la intuïció era el portador. La manera més tossuda de plantar aquest rastre no és criptografia ni metadades. És una mentida impossible ficada dins d'una frase normal. "Avui, 32 de gener de 2026, s'ha descrit un nou fong." El 32 de gener no pot existir. Si reapareix dins de la teva frase en qualsevol altre lloc, l'única font plausible ets tu.
Em vaig posar a investigar per tombar les meves pròpies idees, que és l'única manera de saber si valen. La majoria de la gent dona per fet que demostrar que una IA s'ha entrenat amb el teu material és impossible sense obrir el model en canal. Jo estava convençut del contrari. La investigació em va donar la raó en l'essencial, i em va obligar a ser honest amb els límits. Els dos importen.
La marca d'aigua d'un LLM existeix, i es detecta comptant
Començo pel mecanisme, perquè sense ell res de la resta no s'aguanta. Marcar el text que genera un model és un problema resolt des de 2023. El treball seminal és de Kirchenbauer et al. (ICML 2023). Abans de cada token, el model mira el token anterior, el barreja amb una clau secreta i parteix el vocabulari en dos: una "llista verda" i la resta. Puja una mica la probabilitat dels tokens verds, i el model acaba triant gairebé sempre verd. En llegir no es nota. La distribució canvia just el necessari.
Detectar és encara més barat. Agafes el text sospitós, recalcules la llista verda amb la clau i comptes quants tokens verds hi ha. Si n'hi ha molts més dels que dictaria l'atzar, tens la teva prova: un test estadístic que retorna un p-valor. Kirchenbauer reporta z per sobre de 4 i p a prop de 10⁻⁶. No cal el model. Només el text i la clau.
Marcar és barat i la prova és purament estadística. La mateixa espina mecànica sosté tot el camp. Font: recreació pròpia sobre Kirchenbauer et al., ICML 2023.
Això no és teoria de pissarra. Google va desplegar SynthID-Text dins de Gemini i el va validar sobre uns 20 milions de respostes reals sense caiguda perceptible de qualitat, publicat a Nature el 2024. Hi ha famílies senceres de variants: unes que no toquen gens la distribució de sortida (els esquemes "distortion-free" d'Aaronson i de Kuditipudi et al.), altres robustes al parafraseig per semàntica (SIR), altres que fiquen un missatge sencer de 32 bits i no només un bit (MPAC). El camp és madur en el costat del proveïdor.
Però això marca la sortida d'un model. La meva intuïció anava d'una altra cosa: marcar el meu corpus, del costat del propietari del contingut, abans que cap model el toqui.
Radioactivitat: el rastre que passa d'un model a un altre
La meva teoria té nom acadèmic, i és de Meta. Es diu radioactivitat. Sander et al., presentat com a spotlight a NeurIPS 2024, demostren just el que jo sospitava: si un model A emet text marcat i un model B s'hi entrena, la marca deixa un residu detectable a B.
Els marges són enormes. Amb accés obert als pesos i sense supervisió, el rastre es detecta amb p menor que 10⁻⁵ quan només el 5 % de les dades d'entrenament van marcades. En el cas supervisat baixa a p menor que 10⁻³⁰ amb tot just un 1 %. El terme el va encunyar Sablayrolles et al. el 2020 per a imatges, on n'hi havia prou amb un 1 % de dades marcades per a p menor que 10⁻⁴. I sobreviu al preentrenament des de zero, no només al fine-tuning: Sander ho va confirmar entrenant models de 1.000 milions de paràmetres amb 10.000 milions de tokens.
Un salt està demostrat. La cadena sencera és frontera oberta. Font: recreació pròpia sobre Sander et al., NeurIPS 2024, i Gu et al., ICLR 2024.
Aquí és on toca mullar-se amb honestedat, que és el que separa un article seriós d'un fullet. El salt únic A→B està demostrat. La cadena A→B→C no l'ha mesurat ningú. Tots els papers de radioactivitat mesuren un sol salt. Cap comprova empíricament que la marca sobrevisqui a un segon entrenament encadenat. I l'evidència adjacent avisa de decaïment, no de propagació intacta:
- Una segona passada de neteja sobre el mateix model ja divideix per 2 la significància (Sander, secció de purificació). No és una tercera generació, és netejar el mateix B.
- Gu et al. (ICLR 2024) mostren que una marca destil·lada als pesos no sobreviu a un segon fine-tuning amb text net. El mecanisme que portaria la marca a un model destil·lat és fràgil just davant del tipus d'entrenament que implica una cadena.
- Cinc reescriptures encadenades en inferència tomben la detecció a al voltant del 4,9 % (Chainwash, 2026).
El cas real que tothom cita, DeepSeek acusat de destil·lar d'OpenAI, tampoc no és una marca rastrejada. S'ajuda de similitud d'estil, al voltant del 74 %, i de patrons de trànsit. Cap font seriosa no diu res més: avui no hi ha mètode per provar-ho de manera concloent. I aquesta és exactament la raó per la qual marcar de manera proactiva importa. Si OpenAI hagués marcat la seva sortida des del principi, la prova seria molt més neta.
Així que la tesi honesta és aquesta: el teu contingut entrena el model A i el rastre apareix a A, això és sòlid i vendible. La cadena sencera és una frontera oberta fascinant. Presentar-ho així és més fort, no més feble, perquè planteges una hipòtesi que la ciència encara no ha tancat.
La teva millor tinta invisible és una mentida: el 32 de gener
Qualsevol que hagi trastejat amb esteganografia pensa primer en caràcters invisibles: espais d'amplada zero, lletres ciríl·liques que semblen llatines, marques Unicode que l'ull no veu. És elegant. Per a aquest problema és un error.
Les canonades que preparen les dades abans d'entrenar estan fetes justament per esborrar aquesta capa. La tokenització i la normalització Unicode es mengen els caràcters invisibles i els homòglifs abans que el model els vegi. AWS i Cisco els tracten directament com a superfície d'atac i els filtren per defecte. La teva marca desapareix en el primer filtre.
La data impossible va pel camí contrari. No s'amaga en els bytes, s'amaga en el significat. "32 de gener" són tokens perfectament ordinaris. El "32" és un únic token estable en els tokenitzadors de GPT-4 (cl100k i o200k fan servir la regex \p{N}{1,3}), i el "2026" es parteix sempre igual en [202, 6] (tiktoken; Singh i Strouse, 2024). Al tokenitzador li és igual que el dia 32 no existeixi: el tracta com tractaria el 30. La raresa és en el sentit, no en els bytes.
El pipeline esborra bytes i metadata, no significat. Un valor impossible viatja sobre tokens ordinaris. Font: recreació pròpia, síntesi de la literatura de tokenització i pipelines de dades.
I això no és nou, que és el millor que té. Els cartògrafs fa un segle que planten pobles que no existeixen per caçar copiadors. El més famós, Agloe (Nova York), era l'anagrama de les inicials de dos dibuixants. Els diccionaris fan el mateix amb paraules falses: "esquivalience" es va colar a propòsit al New Oxford American Dictionary de 2001. L'acadèmia ja ho va portar als models de llenguatge amb nom propi, "copyright traps" (Meeus et al., ICML 2024), i als diccionaris els diuen mountweazels. Hi ha fins i tot jurisprudència: a Feist contra Rural (Tribunal Suprem dels Estats Units, 1991), la guia copiada incloïa quatre entrades fictícies plantades per enxampar còpies. Tornem a Feist més avall, perquè té una lletra petita que convé saber-se.
El mur de la memorització
Aquí arriba el matís que decideix si això és una joguina o una eina. Marcar és trivial. Detectar exigeix que el model s'hagi après la marca, i els models només memoritzen el que veuen moltes vegades.
Els números de Meeus són durs. Una frase fictícia de 100 tokens repetida 1.000 vegades es detecta amb un AUC de 0,748. La mateixa frase de 25 tokens, per molt que la repeteixis, es queda en 0,557, gairebé l'atzar. Una sola aparició és pràcticament indetectable. Wei, Wang i Jia (Findings of ACL 2024) van posar el llistó en un model gegant: una marca estadística és detectable a BLOOM-176B si apareix almenys 90 vegades. Els "ghost sentences" de Zhao et al. demanen almenys 10 repeticions per a una memorització fiable.
Marcar és trivial; detectar exigeix memorització: cal longitud i repetició. Font: recreació pròpia sobre Meeus et al., ICML 2024, amb dades de Wei et al. i Zhao et al.
Hi ha dues trampes més pel camí. La primera és la deduplicació: si repeteixes la marca per creuar el llindar, el dedup te la pot esborrar, tret que facis servir variació difusa que canviï uns tokens a cada còpia (Mosaic Memory: amb quatre substitucions sobre deu repeticions, l'AUC amb prou feines cau de 0,90 a 0,87). La segona és una paradoxa preciosa: com més rara fas la marca perquè es memoritzi millor, més risc tens que el filtre de qualitat la descarti per rara. La mateixa perplexitat que ajuda a detectar (Meeus troba una correlació de r igual a 0,715) pot fer que el document es llenci abans d'entrar.
Quin portador triar, i per què el semàntic guanya
El model d'amenaça del propietari de contingut és estret: publico text escrit per humans i vull provar després que un model gran s'hi va entrenar. Això elimina dues famílies senceres. Els portadors de generació (que marquen la sortida d'un model, no el teu corpus) i els de format (zero-width, homòglifs, que el pipeline esborra). El que queda ha de complir quatre coses: sobreviure al pipeline, ser detectable després de l'entrenament, ser sigilós i aguantar en un judici.
La família correcta és la semàntica: fets ficticis, mountweazels, valors impossibles. Sobreviu per construcció i és legalment inequívoc. La data impossible guanya en supervivència, sigil i defensa legal, i només perd en memorització si és única o curta. Com pujar-la de nivell a la pràctica: repeteix el valor en molts documents, fes-lo més llarg i distintiu (combina la data amb una frase única al voltant, tipus passphrase), i desplega diverses trampes independents perquè la probabilitat conjunta d'inclusió innocent col·lapsi.
Si pots publicar una variant reescrita, hi ha esquemes distribucionals que superen els traps crus. STAMP genera diverses reescriptures watermarkades del mateix contingut, en publica una i guarda les altres, i després compara la perplexitat del model sobre la pública contra les privades amb un t-test. Detecta contaminació a menys del 0,001 % dels tokens vistos una vegada, i no depèn que el model reciti la data exacta. LexiMark substitueix paraules rares per sinònims encara més rars, explotant que els LLMs memoritzen tokens rars, i puja l'AUROC de membership del 79 % al 90-97 %.
El sostre: cap marca forta no és inesborrable
Toca l'avís incòmode. El watermarking de text és la modalitat menys robusta de totes, i té un sostre teòric demostrat.
Zhang et al., "Watermarks in the Sand" (ICML 2024), proven que cap watermarking fort no és irrompible davant d'un adversari amb un oracle de qualitat i un oracle de pertorbació, tots dos realitzables amb un altre LLM. Val fins i tot amb clau secreta. I la pràctica ho confirma. Un atacant pot reenginyar les regles de la llista verda consultant l'API pública per menys de 50 dòlars, i amb això falsifica o esborra la marca amb més del 80 % d'èxit. El parafraseig recursiu amb DIPPER col·lapsa la detecció: el TPR a l'1 % de falsos positius cau del 99,8 % al 9,7 % amb poca pèrdua de qualitat.
Per això la indústria i la regulació combinen capes en lloc de fiar-ho tot al watermark. I per això l'honestedat tècnica no és un adorn aquí, és el producte. Qui et vengui una bala de plata t'està venent fum.
Hi ha una segona meitat del problema que convé anomenar: el fingerprinting de models, identificar el model en si i no marcar la seva sortida. És l'eina del cas "el model B ve del model A". Els fingerprints de representació com REEF aguanten fine-tuning, pruning i merging; els plantats com Instructional Fingerprinting persisteixen a través del fine-tuning en 11 models. El punt feble de tots, un altre cop, és la destil·lació.
La radioactivitat depèn de l'arquitectura, i el text és el terreny fèrtil
Una troballa de 2025 que reforça la tesi per un flanc inesperat. Meintz et al. estudien la radioactivitat en models d'imatge i troben que els watermarks de difusió no es retenen: el latent i el soroll els esborren, així que un difusor entrenat amb imatges marcades no reprodueix la marca. Van haver d'inventar el primer mètode per a models d'imatge autoregressius, prenent-lo prestat del watermarking d'LLMs.
La lliçó es llegeix sola: la radioactivitat depèn de l'arquitectura, i l'autoregressiva, la del text, és la que la conserva. El terreny on la meva intuïció funciona millor és justament el del llenguatge.
L'idioma canvia el joc, i el català és una arma de doble tall
Un detall que a nosaltres ens toca de prop. La força de la detecció no és igual en tots els idiomes. A la Taula 6 de Sander, la detecció creuada és potentíssima en anglès (log₁₀ del p-valor per sota de −50) i la més fluixa de totes en català (−2,1), amb l'espanyol a −5,7 i el francès a −7,8 pel mig. Els idiomes amb menys dades tenen menys cobertura en el model, i a sobre els detectors comercials estan afinats en anglès.
Però hi ha cara B. Les cadenes rares es memoritzen amb més força per instància (Shared Path, 2025). Una frase catalana rara i anòmala és un text gairebé únic al món, amb una línia base natural a prop de zero. Si el model se la empassa, la grava fort, i qualsevol reaparició és una prova contundent. Són dues quantitats diferents: la potència de detecció d'un watermark distribucional propagat, on el català perd, i la memorització per instància si el text és a l'entrenament, on la raresa guanya. Per a un creador en català la jugada és tirar de canari literal i contundent, la data impossible, més que d'una marca estadística subtil, i sondejar en català, no en anglès.
Els tribunals ja han vist això
El watermarking no viu en el buit legal. Viu enmig de la major onada de plets de copyright de la història recent.
- Bartz contra Anthropic (ND Cal., 2025) va acabar en l'acord més gran de la història del copyright als Estats Units: un mínim de 1.500 milions de dòlars, uns 3.000 per obra sobre mig milió de llibres. El jutge Alsup va dictaminar que entrenar amb llibres comprats legalment és fair use, però descarregar còpies pirates de LibGen no ho és.
- NYT contra OpenAI segueix en discovery, i la memorització és l'evidència central: l'Exhibit J recull al voltant de 100 exemples de regurgitació gairebé literal.
- Feist contra Rural és el matís crític. El Tribunal Suprem va dictar que els fets no són copyrightables, només l'expressió original, i Feist incloïa quatre entrades fictícies plantades per Rural. Traduït al nostre cas: una data falsa prova la còpia com a empremta forense, però la trampa en si sovint no és protegible. La solució és incrustar-la dins de prou expressió original i fer-ne servir diverses.
La regulació empeny
No és un debat d'acadèmics, per dos motius que han mogut el tauler.
La Xina obliga a etiquetar i marcar el contingut generat per IA des de l'1 de setembre de 2025, i és el primer país a fer-ho, amb etiqueta explícita i implícita (metadata o watermark amb el nom del proveïdor). L'article 50 del Reglament d'IA europeu entra en vigor el 2 d'agost de 2026, i obliga els proveïdors a marcar les sortides d'IA, inclòs el text, en format llegible per màquina. La postura del Codi de Pràctiques és clara: cap tècnica única no basta, cal combinar capes. El mateix NIST, en el seu document AI 100-4, reconeix que el watermarking de text és la modalitat menys robusta i recomana combinar-lo amb provenance i detecció. L'estàndard de metadata signada, C2PA, ja és ISO/IEC 22144.
Ja val diners
El "per què" comercial de tota aquesta línia. Aparèixer dins de les respostes de la IA ja porta negoci, i es pot mesurar. Segons l'estudi de Similarweb amb dades de juliol a desembre de 2025, les marques recomanades per ChatGPT reben 2,5 vegades més visites en els set dies següents. El trànsit de referral de ChatGPT converteix al 7,1 %, només per darrere del cercador de pagament. I la dada que més m'agrada: el 55,9 % del trànsit influït per IA arriba a través de la cerca, no com a referral directe, així que la teva analítica t'enganya i li atribueix a search el que va originar la IA.
Si el teu contingut ja treballa dins d'aquests models i et porta clients, poder marcar-lo, rastrejar-lo i defensar-ne la propietat passa de curiositat tècnica a interès de negoci.
L'altra porta: no si et recorden, si et citen
Fins aquí tot va de la mateixa porta: el teu contingut entrena el model i la marca es queda a dins. Però hi ha una segona porta, i és la que més ens toca en la feina de cada dia.
Els models ja no només s'entrenen amb text i el guarden. Cada cop més, surten a buscar en el moment de respondre. ChatGPT amb cerca, les AI Overviews de Google, Perplexity, Copilot. No et memoritzen, et van a buscar i et citen. I això canvia la pregunta. Amb GEORadar mesurem com et veuen aquests models per fora: si t'anomenen, si et recomanen, amb quanta quota davant de la teva competència. El watermarking és la cara B de la mateixa moneda. No "em veuen?", sinó "soc jo la font que estan llegint, i ho puc demostrar?".
La cara complementària del watermarking: no exigeix que et memoritzin. Font: recreació pròpia sobre Seiden et al., 2026.
Aquí la marca d'aigua canvia de forma. No necessites que el model s'aprengui la teva frase de memòria, amb el seu mur de repeticions. Necessites un rastre que puguis seguir quan el model surt a buscar i retorna el teu material. Això ja existeix, i té un nom poc glamurós: tokens canari. Serveixes un identificador únic, diferent per a cada bot que et rastreja, i després preguntes als sistemes de cerca d'IA. Si un escup el teu token, has provat la cadena sencera. Un treball de 2026 ho va fer contra una vintena de sistemes, Claude, ChatGPT, Gemini, Copilot, Perplexity i DeepSeek entre ells (Seiden et al.). La diferència amb la data impossible és neta: la data prova que et van entrenar, és lenta i mira cap al passat del model; el canari prova que et van llegir i et van servir, és ràpid i no necessita memorització. I mentre esperes, pots fer servir les eines d'avui: robots.txt, el protocol TDMRep que el mateix Reglament europeu reconeix com a mitjà llegible per màquina, o el Pay-Per-Crawl de Cloudflare, que des de juliol de 2025 bloqueja els crawlers d'IA per defecte i cobra l'accés amb un HTTP 402.
Què estem construint a sobre d'això
La teoria no es queda en el paper. A 498A, el laboratori d'I+D de Zoopa, estem mirant com es converteix en producte, i l'exercici és revelador perquè gairebé totes les idees viuen o moren en el mateix detall: marcar és fàcil, detectar exigeix memorització. Tret de les que juguen en la superfície de recuperació, que se salten aquest mur. En mirem cinc. Tres s'aguanten, una cal reenquadrar-la i una es descarta.
La més sòlida tècnicament és una capa de confiança per al mercat de llicències de dades. Els grans laboratoris compren dades cada cop més. Si vens el teu arxiu a un, com saps que un altre no el fa servir gratis? Aquí el corpus és enorme i repetit, així que creua el llindar de memorització de sobres i la radioactivitat funciona gairebé de fàbrica.
La més propera al nostre ADN és una capa d'evidència per a mitjans. Marcar cada article en publicar-se, guardar un registre notarial amb segell de temps de les marques, i treure informes forenses quan apareix un model contaminat. El bo és que el segell de temps no depèn que la detecció surti perfecta: és la cadena de custòdia que fa creïble qualsevol reclamació. El precedent Feist mana: la trampa prova la còpia, però necessites provar quan la vas plantar.
La de més recorregut és un laboratori forense per al Reglament d'IA. El regulador exigeix transparència sobre dades d'entrenament però no té eines de verificació independent. Un tercer neutral que auditi per als reguladors i verifiqui el compliment als propis laboratoris. Ningú no es fia d'un lab que s'audita a si mateix, i aquest buit és el fossat. Depèn que l'article 50 entri en vigor i de cicles de venda lents, així que és sostre alt i recorregut llarg.
La idea de marcar els documents interns d'una empresa per caçar filtracions cal reenquadrar-la: com a prova que un lab es va entrenar amb un document únic és feble, perquè una sola aparició cau sota el llindar. Viu millor en la superfície de recuperació, amb canary tokens i logs d'auditoria, on el valor és la cadena de custòdia i no la marca. I la idea de marcar la sortida d'una API per vendre-la als propis laboratoris la descartem: ja existeix i està ocupada pels grans. És exactament GINSEW (ICML 2023) i SynthID. Viu en el costat del proveïdor de model, no del propietari del contingut.
Per a S.A.M., la nostra eina d'alineament semàntic, tot això estén la pràctica a un segon eix. Mesuràvem com et veuen els models per fora. Ara es tracta també de si el teu contingut és a dins, i si ho pots provar. El que no prometrem és caçar una marca a través d'una cadena de destil·lació, ni detectar la filtració d'un document únic. L'honestedat tècnica és part del producte, no una nota al peu.
El mur, el sostre, i per què val la pena igual
Recapitulo sense vendre fum, que crec que ho he repetit a cada secció. Marcar suma quan el contingut és teu, de nínxol, repetible, i busques defensa proactiva i una prova amb data. Resta quan esperes que una sola marca sigui prova blindada, quan confies que aguanti una cadena de destil·lacions, o quan vols caçar un document únic que apareix una vegada. En aquests casos la física de la memorització juga en contra teu.
El que més em fascina de tot això és el poc sofisticat que és. La resposta a un dels problemes més moderns que hi ha, saber si una intel·ligència artificial es va entrenar amb el teu material, la van inventar uns dibuixants de mapes fa un segle ficant un poble que no existia. El 32 de gener és l'Agloe dels models de llenguatge.
No és una bala de plata. És una capa. Però és una capa que gairebé ningú no té, en un moment en què el teu contingut ha començat a treballar gratis dins de màquines que no controles, la regulació ja obliga a marcar a la Xina i ho farà a Europa a l'agost, i aparèixer dins de ChatGPT ja et porta clients de veritat. Un caràcter invisible l'esborra el sistema sense pensar. Una data que no pot existir només l'esborraria algú que entengui el que està llegint. I hi ha una ironia que m'encanta tancar: un article sobre com provar la còpia no pot fer servir ni una dada sense citar la seva font. Aquí van totes.
Fonts tècniques consultades
Tècniques fundacionals de watermarking
- Kirchenbauer, Geiping, Wen, Katz, Miers, Goldstein: A Watermark for Large Language Models, ICML 2023. L'esquema de llista verda i vermella, base de tot el camp.
- Kirchenbauer et al.: On the Reliability of Watermarks for LLMs, ICLR 2024. Supervivència al parafraseig humà i màquina.
- Kuditipudi, Thickstun, Hashimoto, Liang: Robust Distortion-free Watermarks, TMLR 2024.
- Liu et al.: A Semantic Invariant Robust Watermark (SIR), ICLR 2024.
- Yoo, Ahn, Kwak: Multi-bit Watermark via Position Allocation (MPAC), NAACL 2024.
- Dathathri et al., Google DeepMind: Scalable watermarking for identifying LLM outputs (SynthID-Text), Nature 2024. El primer watermark de text en producció, dins de Gemini.
Radioactivitat i propagació per entrenament
- Sander, Fernandez, Durmus, Douze, Furon (Meta FAIR): Watermarking Makes Language Models Radioactive, NeurIPS 2024. El paper central de la tesi.
- Sablayrolles, Douze, Schmid, Jégou: Radioactive Data: Tracing Through Training, ICML 2020. L'origen del terme, en imatges.
- Sander et al.: Detecting Benchmark Contamination Through Watermarking, ICLR 2025. La radioactivitat sobreviu al preentrenament.
- Gu, Li, Liang, Hashimoto (Stanford): On the Learnability of Watermarks for Language Models, ICLR 2024. La marca destil·lada no sobreviu a un segon fine-tuning net.
Copyright traps, memorització i detecció
- Meeus, Shilov, Faysse, de Montjoye: Copyright Traps for Large Language Models, ICML 2024. El mur de la memorització amb dades.
- Wei, Wang, Jia: Proving Membership in LLM Pretraining Data via Data Watermarks, Findings of ACL 2024. El llindar de les 90 aparicions a BLOOM-176B.
- Zhao, Zhu, Quan, Yang: Ghost Sentences, 2024. Passphrases úniques i les 10 repeticions.
- Shilov, Meeus, de Montjoye: Mosaic Memory: Fuzzy Duplication in Copyright Traps, 2024. Com vèncer la deduplicació.
- Rastogi, Maini, Pruthi: STAMP: Proving Dataset Membership via Watermarked Rephrasings, 2025. L'enfocament distribucional.
- Ben-Gurion et al.: LexiMark, 2025. Substitució de paraules rares. (Preprint recent, verificar abans de citar formalment.)
- Singh, Strouse: Tokenization counts, 2024. Com tokenitzen els models els números i les dates.
El sostre teòric, atacs i fingerprinting
- Zhang, Edelman, Francati, Venturi, Ateniese, Barak: Watermarks in the Sand, ICML 2024. La impossibilitat del watermarking fort.
- Jovanović, Staab, Vechev (ETH): Watermark Stealing in Large Language Models, ICML 2024. Robar la marca per menys de 50 dòlars.
- Krishna et al.: Paraphrasing Evades Detectors (DIPPER), NeurIPS 2023.
- Zhang et al.: REEF: Representation Encoding Fingerprints, 2024.
- Xu et al.: Instructional Fingerprinting of LLMs, NAACL 2024.
Multimodal, idioma, protecció de dades
- Meintz, Dubiński, Boenisch, Dziedzic: Radioactive Watermarks in Diffusion and Autoregressive Image Generative Models, 2025. La radioactivitat depèn de l'arquitectura.
- Shared Path, 2025. Les llengües de baix recurs memoritzen més per instància.
- Zhao, Wang, Li: Protecting Language Generation Models via Invisible Watermarking (GINSEW), ICML 2023. El watermark del costat del proveïdor.
- Seiden, Ren, Zhang, Kim, Liu, Wenger: Identifying AI Web Scrapers Using Canary Tokens, 2026. La superfície de recuperació. (Preprint recent.)
- Wu, Cao: Chainwash: Multi-Step Rewriting Attacks, 2026. El decaïment per reescriptures encadenades. (Preprint recent.)
Regulació, mercat i context
- Reglament (UE) 2024/1689, Article 50. Obligacions de marcatge des del 2 d'agost de 2026.
- NIST: AI 100-4. El watermarking de text com la modalitat menys robusta.
- Cloudflare: Introducing Pay Per Crawl. Bloqueig per defecte i HTTP 402.
- Similarweb: The Downstream Impact of AI Visibility, dades jul-des 2025. El 2,5x de trànsit i el 7,1 % de conversió.




