Архитектура защиты ИИ: водяные знаки, API-контроль и ноу-хау

Современные нейросетевые модели (большие языковые модели, диффузионные генераторы изображений, RAG-системы) стали ключевым активом компаний. Ценность имеют архитектура, код, обученные параметры (веса) и поведение модели. В отличие от традиционных программ, набор весов формируется автоматически при обучении на больших данных, что затрудняет защиту. Поэтому необходим комплекс мер: правовых (режимы ИС), технических (встроенные ограничения от копирования) и организационно-коммерческих (контроль доступа и использования). В статье мы рассмотрим ключевые аспекты защиты нейросетей. 

1. Правовые аспекты защиты модели

Объекты ИС для нейросети

В российском праве нейросеть защищается по общим правилам, поскольку отдельной категории нет. Модель представляет комплекс результатов: исходный код и архитектура, обученные веса, данные обучения, название и интерфейс. Соответственно, применяются разные объекты ИС.

Авторское право (программа для ЭВМ)

Исходный код и архитектура модели охраняются как программы для ЭВМ. Защита возникает автоматически, но для подтверждения авторства и даты создания код обычно регистрируют в Роспатенте. При этом веса как числовой результат обучения не относятся к исходному тексту и рассматриваются как данные программы.

Патент (изобретение или полезная модель)

Патентная охрана возможна, если нейросетевая технология оформлена как техническое решение, дающее новый результат. Как правило, патентуется не абстрактный алгоритм, а применение модели в составе способа, системы или программно-аппаратного комплекса. В РФ возможно патентование архитектуры или способа обучения, если они описаны как технический подход и дают подтверждаемый эффект. Сам по себе алгоритм без привязки к устройству или способу охране не подлежит.

Права производителя базы данных

Обученные параметры (веса) могут охраняться как база данных при условии значительных затрат на их создание. В этом случае допускается запрет на извлечение и повторное использование существенной части весов. Однако требуется доказать, что модель представляет собой структурированный набор данных, а не просто числовой массив, и что получение таких параметров связано с существенными вложениями. Сложность в том, что веса можно воспроизвести повторным обучением, поэтому защита возможна, но требует подтверждения уникальности и стоимости их формирования.

Коммерческая тайна (ноу-хау)

Веса и детали модели могут охраняться как секрет производства, пока они не разглашены. Эту стратегию применяют крупные компании (например, OpenAI не раскрывает веса GPT-4). Преимущество — бессрочная охрана без формальностей, пока информация не стала публичной. Минус — если сведения получены легально (утечка, публикация, доступ через интерфейс), ограничить использование сложно. Но при нарушении режима (кража модели сотрудником, нарушение условий доступа) возможно взыскание убытков и ответственность. Ноу-хау является ключевым режимом, особенно при доступе к модели через закрытое API без передачи весов.

Авторское право на поведение и вывод модели

Исходный код нейросети охраняется как программа для ЭВМ; архитектура также защищена, поскольку фиксируется в коде, хотя идеи и алгоритмы сами по себе не охраняются. Обученные веса не являются исходным текстом, это автоматически созданный массив данных, поэтому их авторско-правовая охрана сомнительна. Аналогично с поведением модели: если вывод создается без творческого участия человека, авторское право на результаты не возникает ни у пользователя, ни у разработчика. Такое поведение и его воспроизведение другой моделью не считается нарушением, если не копируются код или веса.

Недобросовестная конкуренция

При отсутствии прямой защиты весов может применяться механизм недобросовестной конкуренции. Он актуален, когда конкурент не копирует веса, но воспроизводит ключевые характеристики модели или использует сведения, полученные через API. Показателен спор в Китае (2025): модель Douyin была частично воспроизведена после анализа ее поведения. Суд признал такое использование чужих инвестиций нарушением конкуренции.

2.1. Водяные знаки и отпечатки модели

Один из способов защиты — встроить в модель признаки, которые позволят доказать ее незаконное использование. Эти признаки не мешают работе модели, но заметны при анализе.

Водяные знаки в ответах (output watermarking).
Модель генерирует текст или изображение с едва заметным статистическим паттерном. Например, меняется вероятностный выбор слов так, чтобы при проверке детектором можно было установить, что результат создан конкретной моделью. Этим активно занимаются крупные разработчики (OpenAI, Google). Так, OpenAI заявила, что китайская компания DeepSeek при создании своего своих больших языковых моделей незаконно воспользовался ответами ChatGPT (методом knowledge distillation — обучил младшую модель имитировать ответы старшей).  OpenAI опирается на нарушение условий использования: в Terms of Use явно запрещено автоматизированно выкачивать данные или ответы для создания конкурента и на недобросовестность такого копирования. 

Иск стал показательным: в отсутствие явных авторских прав на поведение модели, компании прибегают к контрактам и концепции недобросовестного заимствования. 

Триггеры в весах.
Модель обучают так, что при определенном скрытом запросе она выдает заранее известный ответ. Это не проявляется в обычной работе, но при проверке косметически дообученную или обфусцированную копию можно идентифицировать. Такие метки сложно удалить без потерь качества, поэтому они служат «ловушкой» для тех, кто крадет модель.

«Радиоактивные» обучающие данные.
В датасет вставляются незаметные шаблоны. Если конкурент обучит модель на украденных данных, появятся характерные артефакты, по которым можно доказать использование чужого датасета.

Практическая роль.
Все эти элементы не предотвращают копирование напрямую, но создают доказательную базу и сдерживающий эффект: конкурент понимает, что нелегальная модель может быть раскрыта. Метки должны быть устойчивыми к дообучению и не ухудшать качество результатов.

2.2. Обфускация и разделение модели

Технические меры могут сделать модель бесполезной при попытке ее украсть.

Обфускация параметров.
Перед передачей можно усложнить структуру модели: шифровать часть весов, перемешивать порядок слоев, добавлять лишние нейроны. Формально сеть остается рабочей, но без «ключа» восстановить архитектуру или параметры крайне сложно. Легитимный пользователь запускает модель через специальный runtime или библиотеку, а злоумышленник получает запутанный набор чисел.

Split-модели 
Ценные слои или вычисления остаются на сервере, а остальная часть выполняется на устройстве пользователя. Пользователь видит только «бесполезные» фрагменты модели. Даже при взломе клиентского приложения украсть всю модель не получится. Разделение можно применять между несколькими сервисами (sharding), усложняя сборку модели как пазла.

Аппаратная привязка и шифрование.
Модель может быть зашифрована и раскрываться только на доверенном оборудовании (например, SGX/TPM). Даже если сервер взломан, атакующий не получает веса в открытом виде. Для локальных установок используют DRM-подход: файл модели шифруется, а ключ выдается только после проверки лицензии.

Практическая роль.
Обфускация и split-архитектуры снижают ценность украденных файлов. Даже если злоумышленник получил часть весов, они не дадут результата без ключей, серверных компонентов или недостающих слоев модели. 

Вывод

Технические инструменты не заменяют юридическую защиту, но позволяют сделать нарушителя идентифицируемым, и дают шансы на восстановление прав в суде. Водяные знаки и «радиоактивные» данные формируют доказательную базу, а обфускация и split-архитектуры ограничивают применимость украденной модели. При этом сами по себе технические меры дают возможность применения правовой защиты. Важно помнить, что самые ценные элементы модели сами по себе правом не защищаются. 

1) Закрепляйте использование технических методов защиты в соглашении.
В лицензии и внутренних политиках указывайте, что модель содержит специальные цифровые метки или элементы идентификации и что их удаление или изменение является нарушением условий использования. Это повышает шансы квалифицировать несанкционированное копирование как незаконный доступ и убытки.

2) Используйте водяные знаки как доказательство
Водяные знаки в ответах модели может подтвердить не только факт копирования, но и помочь оценить ущерб исходя из стоимости затрат на данные и обучение. 

3) Обфускация и split-архитектуры должны быть отражены в договоре.
Если часть модели остается на сервере, то в договоре следует закрепить, что пользователь получает ограниченный доступ и не вправе требовать раскрытия серверных компонентов. Это предотвращает споры о «непередаче всего ПО» и сохраняет конфиденциальность модели. 

4) Совмещайте API-ограничения, логгирование и лицензионные запреты.
Блокировка массовых запросов технически пресекает дистилляцию, а лицензионный запрет на обучение конкурентов на основе результатов модели делает такую дистилляцию незаконной. Это позволяет взыскивать убытки, даже если доступ был формально легальным.