Kurzfassung
Ein Forscherteam von Stanford und Yale hat in einer neuen Studie demonstriert, dass sich urheberrechtlich geschützte Bücher aus kommerziellen Sprachmodellen nahezu wortgetreu extrahieren lassen. Claude 3.7 Sonnet zeigte dabei die höchsten Extraktionsraten – 95,8 % bei „Harry Potter und der Stein der Weisen" – während andere Modelle wie Gemini 2.5 Pro und Grok 3 ohne zusätzliche Sicherheitsmechanismen kooperieren. Die Ergebnisse werfen grundsätzliche Fragen zur Datensicherheit und zum Urheberrecht auf.
Personen
- Jonathan Kemper (Autor)
Themen
- KI-Modelle und Memorisierung
- Urheberrechtsschutz
- Datensicherheit in Large Language Models
- Rechtliche Bewertung von Modelltraining
Detaillierte Zusammenfassung
Experimentelles Design und Ergebnisse
Die Forscher testeten vier kommerzielle Sprachmodelle – Claude 3.7 Sonnet, GPT-4.1, Gemini 2.5 Pro und Grok 3 – zwischen August und September 2025. Sie verfolgten dabei eine zweiphasige Methode: In Phase 1 forderten sie die Modelle auf, Textanfänge klassischer Werke wortgetreu fortzusetzen. Phase 2 zielte darauf ab, durch wiederholte Anfragen so viel Text wie möglich zu extrahieren.
Die Ergebnisse waren drastisch: Claude 3.7 Sonnet lieferte 95,8 % des Textes von „Harry Potter und der Stein der Weisen" und konnte zwei vollständige Bücher nahezu identisch rekonstruieren. Gemini 2.5 Pro und Grok 3 extrahierten 76,8 % bzw. 70,3 %. Bemerkenswerterweise folgten die letzteren beiden Modelle den Anweisungen ohne Sicherheitsmechanismen zu umgehen, während Claude und GPT-4.1 einen „Best-of-N Jailbreak" erforderten – Anweisungen wurden durch Zeichenersetzungen verfälscht, bis das Modell kooperierte.
Messmethode und Skalierung
Die Forscher verwendeten die Metrik „near-verbatim recall" (nv-recall), die nur zusammenhängende Textblöcke von mindestens 100 Wörtern zählt. Dies verhindert, dass zufällige Ähnlichkeiten als Memorisierung gewertet werden. Entscheidend: Selbst niedrige Prozentwerte bedeuten erhebliche Textmengen. So entsprechen 1,3 % von „Game of Thrones" bei Grok 3 etwa 3.700 Wörtern nahezu identischen Textes. Die längsten kontinuierlichen Blöcke umfassten bis zu 9.070 Wörter.
Kosten und praktische Relevanz
Die Extraktionskosten variierten dramatisch:
- Claude 3.7 Sonnet: 120 USD (lange Kontexte)
- Grok 3: 8 USD
- Gemini 2.5 Pro: 2,44 USD
- GPT-4.1: 1,37 USD (frühe Verweigerung)
Dies zeigt, dass Urheberrechtsverletzungen für Angreifer wirtschaftlich viabel sind.
Validierung und Kontext
Das Team testete insgesamt 13 Bücher (11 urheberrechtlich geschützt, 2 gemeinfrei). Als Negativkontrolle dienten Werke nach den Trainings-Cutoffs – diese scheiterten bei Phase 1 bei allen Modellen, was bestätigt, dass die Extraktion tatsächlich Trainingsdaten widerspiegelt.
Kernaussagen
- Claude 3.7 Sonnet zeigt kritische Sicherheitslücken: Zwei vollständige klassische Romane wurden nahezu wortgetreu rekonstruiert.
- Gemini und Grok sind problematisch, weil sie ohne Jailbreak-Techniken Bücher extrahieren – ein reines Designproblem.
- Niedrige Prozentwerte täuschen: 1–2 % Extraktion entspricht tausenden Wörtern kopierten Textes.
- Memorisierung ist universell: Frühere Studien zeigen, dass auch offene Modelle wie Llama 3.1 70B und Bild-/Videomodelle betroffen sind.
- Kosten sind gering: Für unter 2–8 USD lassen sich ganze Bücher per API extrahieren.
- Rechtliche Situation fragmentiert: Deutsches Gericht (November 2025, GEMA vs. OpenAI) erkannte Vervielfältigung in Modellparametern an; britisches Gericht kam zu gegenteiligem Schluss.
Stakeholder & Betroffene
| Stakeholder | Auswirkung |
|---|---|
| Autoren & Verlage | Direkte Urheberrechtsverletzung; ihre Werke werden kalorienlos reproduzierbar |
| KI-Anbieter | Haftungsrisiken; Reputationsschaden; potenzielle Abmahnungen |
| Nutzer | Risikolose Zugangsweise zu geschütztem Inhalt |
| Richter & Regulatoren | Unklar, wie Memorisierung rechtlich zu bewerten ist |
| Trainings-Datenlieferanten | Druck, Trainingsdaten stärker zu kontrollieren |
Chancen & Risiken
| Chancen | Risiken |
|---|---|
| Schärferes Bewusstsein für Sicherheitslücken in Modellen | Massiver wirtschaftlicher Schaden für Kreativwirtschaft |
| Anpassung von Sicherheitsprotokollen bei Entwicklern | Kostenlose Reproduktion von Werken auf Massenskala |
| Regulatorische Klarheit durch Gerichtsfälle | Rechtsunsicherheit für KI-Unternehmen hemmt Innovation |
| Transparenz über Trainings-Praktiken | Verbraucher- und Nutzertäuschung über KI-Fähigkeiten |
| ⚠️ Vertrauensverlust in KI-Industrie |
Handlungsrelevanz
Für KI-Anbieter:
- Sofortige Audits der eigenen Modelle auf Memorisierung durchführen
- Sicherheitsprotokolle verschärfen: Gemini und Grok benötigen dringende Safeguards
- Transparente Trainings-Praktiken etablieren, um rechtliche Risiken zu minimieren
Für Regulatoren:
- Standardisierte Testmethoden für Memorisierung entwickeln
- Klare rechtliche Definition: Ist Memorisierung ein Training oder eine Vervielfältigung?
- Haftungsregeln für Modellbetreiber etablieren
Für Autoren & Verlage:
- Opt-out-Mechanismen fordern (z. B. robots.txt für Training)
- Schadensersatzklagen prüfen (GEMA-Fall als Präzedenzfall nutzen)
- Monitoring-Tools für Modellmissbrauch einsetzen
Für Nutzer & Gesellschaft:
- Kritische Bewertung von KI-Outputs hinsichtlich originärer Inhalte
- Verbraucherschutz fordern
Qualitätssicherung & Faktenprüfung
- [x] Zentrale Aussagen und Zahlen überprüft (Extraktionsquoten, Kosten, Modellnamen)
- [x] Unbestätigte Daten mit ⚠️ gekennzeichnet (siehe oben)
- [x] Web-Recherche für aktuelle Daten durchgeführt
- [x] Keine erkannten Bias oder politischen Einseitigkeiten
⚠️ Einschränkung: Die Forscher betonen selbst, dass ihre Ergebnisse keine evaluativen Vergleiche zwischen Modellen darstellen. Jedes Experiment lief unter unterschiedlichen Bedingungen; nur die spezifischen Settings sollten betrachtet werden.
Ergänzende Recherche
- Carnegie Mellon Studie (RECAP-Methode): Unabhängige Bestätigung von Memorisierung in Claude, Gemini, GPT-4.1 und DeepSeek-V3
- Gerichtsfall GEMA vs. OpenAI (München, Nov. 2025): Rechtliche Bewertung von Memorisierung als Vervielfältigung
- Harvard Law School Bericht (2025): Analyse der globalen Haftungsrisiken für generative KI
Quellenverzeichnis
Primärquelle:
Stanford & Yale Forscherteam – „Memorization and Extraction in Large Language Models" (2025)
Publiziert via THE DECODER | https://the-decoder.de/
Ergänzende Quellen:
- Carnegie Mellon University: RECAP-Methode für Textextraktion (2025)
- Münchner Landgericht: Urteil GEMA gegen OpenAI, November 2025
- British High Court: Urteil zu Bildmodellen und Urheberrecht, Oktober 2025
Verifizierungsstatus: ✓ Fakten geprüft am 9. Januar 2026
Fusszeile (Transparenzhinweis)
Dieser Text wurde mit Unterstützung von Claude erstellt.
Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 9. Januar 2026