Online LLM watermark detection via e-processes

Dit paper introduceert een unifyend raamwerk voor de detectie van watermerken in grote taalmodellen (LLM's) via e-processen, wat anytime-valid garanties biedt voor online toetsing en de detectiekracht verbetert door adaptieve methoden.

De kern

Stel je voor dat je een enorme bibliotheek hebt waar boeken worden geschreven door zowel mensen als door een super-slimme robot (een Large Language Model of LLM). Het probleem is dat de robot zo goed schrijft dat je nauwelijks meer kunt zien of een tekst door een mens of door de machine is gemaakt. Dit is gevaarlijk, want de robot kan nepnieuwen verspreiden of plagiaat plegen zonder dat iemand het merkt.

Om dit op te lossen, hebben onderzoekers een "watermerk" bedacht. Dit is geen zichtbaar teken, maar een onzichtbare, wiskundige vingerafdruk die in de tekst wordt verstopt terwijl de robot schrijft.

Dit artikel, geschreven door Weijie Su, Ruodu Wang en Zinan Zhao, introduceert een nieuwe, slimme manier om te controleren of zo'n watermerk aanwezig is. Ze noemen hun methode "e-processen".

Hier is de uitleg in gewone taal, met een paar creatieve vergelijkingen:

1. Het oude probleem: De "Stop- en-start" valkuil

Vroeger hadden onderzoekers methoden om watermerken te detecteren, maar die werkten als een fototoestel met een vaste belichtingstijd. Je moest wachten tot het hele boek (of het hele artikel) klaar was om te zeggen: "Ja, dit is een robot" of "Nee, dit is een mens".

In de echte wereld werken robots echter als een stroom van water. Ze schrijven woord voor woord, direct en continu. Als je wacht tot het hele verhaal klaar is, is het vaak al te laat (bijvoorbeeld als nepnieuws al viral is gegaan).

• Het probleem: Als je probeert te controleren terwijl de tekst wordt geschreven (woord voor woord) met de oude methoden, krijg je veel "valse alarmen". Het is alsof je elke seconde kijkt of het regent, en elke druppel die je ziet, je laat denken dat er een storm komt. De kans op een fout wordt steeds groter naarmate je langer kijkt.

2. De nieuwe oplossing: De "Onuitputtelijke Geldtas" (E-processen)

De auteurs gebruiken een wiskundig concept dat ze "e-processen" noemen. Laten we dit vergelijken met een geldtas of een speelgoedmunt.

• De regel: Je begint met een tas die precies €1,00 bevat.
• Het spel: Je kijkt naar elk nieuw woord dat de robot schrijft.
  • Als het woord eruitziet als iets dat een mens zou schrijven, doe je niets. De tas blijft €1,00.
  • Als het woord eruitziet als iets dat een robot zou schrijven (vanwege het watermerk), verdubbelt of verviervoudigt het geld in je tas.
• De winst: Als de tas op een gegeven moment €100,00 of €1000,00 bevat, weet je met 100% zeker dat het een robot is. Je hoeft niet te wachten tot het einde van het verhaal. Je kunt stoppen zodra de tas vol genoeg is.
• De veiligheid: Als het een mens is die schrijft, zal het geld in de tas nooit groeien. Het blijft rond de €1,00 zwalken, maar het zal nooit exploderen. Dit betekent dat je nooit een vals alarm krijgt, zelfs niet als je urenlang blijft kijken.

Dit is wat ze "anytime-valid" noemen: je kunt op elk willekeurig moment stoppen en de uitslag is betrouwbaar.

3. Hoe werkt het slimme deel? (Adaptieve Weegschalen)

De auteurs hebben niet alleen een simpele geldtas bedacht, maar een slimme, lerende geldtas.

Stel je voor dat de robot soms heel saai schrijft (bijvoorbeeld: "De hemel is blauw. De hemel is blauw.") en soms heel creatief.

• De oude methode: Zou elke zin even zwaar wegen, alsof elke zin even belangrijk is.
• De nieuwe methode (e-processen): De tas is slim. Als de robot saai schrijft, weegt de tas die woorden lichter. Als de robot iets doet dat heel typisch voor een watermerk is, weegt hij dat zwaarder.
• Ze gebruiken een techniek die lijkt op het Grenander-algoritme (een wiskundige manier om patronen te vinden). Het is alsof de tas een eigen "neus" heeft die leert: "Ah, bij dit type tekst moet ik extra alert zijn."

4. Waarom is dit beter dan de rest?

In hun experimenten hebben ze getest met echte open-source robots (zoals OPT-1.3B) en met gesimuleerde data.

• Resultaat 1: De oude methoden gaven veel te vaak "ja" als het antwoord "nee" was (veel valse alarmen) als je ze in real-time gebruikte. De nieuwe methode deed dit nooit.
• Resultaat 2: De nieuwe methode is net zo snel in het opsporen van de robot als de oude methoden, maar dan zonder de fouten.
• Resultaat 3: Zelfs als de robot heel saai of voorspelbaar schrijft (wat de oude methoden in de war brengt), blijft de nieuwe methode werken. Het is alsof de nieuwe tas een betere "ruisfilter" heeft.

Samenvatting in één zin

De auteurs hebben een slimme, veilige alarmklok bedacht die woord voor woord meekijkt met een robot, en die onmiddellijk en betrouwbaar waarschuwt zodra er een watermerk is gevonden, zonder ooit onterecht te piepen, zelfs niet als je urenlang blijft kijken.

Dit is een enorme stap voorwaarts om de digitale wereld veiliger te maken tegen nep-inhoud, omdat het ons toelaat om direct in te grijpen in plaats van pas achteraf te reageren.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Online LLM watermark detection via e-processes" in het Nederlands.

Titel: Online LLM-watermerkdetectie via e-processen

Auteurs: Weijie Su, Ruodu Wang, Zinan Zhao
Datum: 12 maart 2026

---

1. Probleemstelling

De opkomst van krachtige Large Language Models (LLM's) zoals GPT-4 en LLaMA heeft de natuurlijke taalgeneratie getransformeerd, maar brengt ook ernstige ethische en veiligheidsrisico's met zich mee, zoals het verspreiden van desinformatie, academisch plagiaat en frauduleuze content. Een cruciale uitdaging is het onderscheid maken tussen door mens en door AI gegenereerde tekst.

Watermerking is een veelbelovende oplossing waarbij een subtiel algoritme in het generatieproces wordt ingebouwd. Statistisch gezien creëert een watermerk een afhankelijkheid tussen de gegenereerde tokens en een pseudowillekeurige sequentie (de watermerk-sleutel). Detectie wordt hierdoor een hypothesetoetsing op onafhankelijkheid.

Bestaande uitdagingen:

• Optionele stopregels (Optional Stopping): De meeste bestaande methoden zijn ontworpen voor vaste steekproefgroottes. In real-world scenario's, waar tekst als een stream wordt gegenereerd (bijv. door autonome agents), leidt het herhaaldelijk controleren op een watermerk met traditionele p-waarden tot een geïnfleerde Type I-fout (vals-positief).
• Statistische kracht: De kracht van p-waarde methoden kan afnemen wanneer de Next-Token Prediction (NTP) verdeling zeer geconcentreerd is (bijna degenererend), wat vaak voorkomt bij lange teksten.
• Theoretische beperkingen: Er is een gebrek aan robuuste theoretische karakteriseringen van de testkracht en weerstand tegen adversariale aanvallen.

2. Methodologie

De auteurs ontwikkelen een unificerend kader voor watermerkdetectie gebaseerd op e-waarden (e-values) en e-processen. Dit zijn statistische instrumenten die "altijd-geldige" (anytime-valid) garanties bieden voor online toetsing.

Kernconcepten:

• E-processen: Een niet-negatief stochastisch proces $(M_t)$ dat aangepast is aan een filtratie $\mathcal{F}$. Onder de nulhypothese (geen watermerk) geldt $E_P[M_\tau] \leq 1$ voor elke stoptijd $\tau$. Dit betekent dat men continu kan monitoren zonder de foutenrate op te blazen.
• Hypothesetoetsing:
  • $H_0$: Tokens en pseudowillekeurige variabelen zijn onafhankelijk.
  • $H_1$: Er bestaat een watermerkschema dat afhankelijkheid induceert.
• Gumbel-max Watermerk: De auteurs focussen op het populaire Gumbel-max schema (Aaronson, 2023). Hierbij wordt een pivot-statistiek $Y_t$ afgeleid die onder $H_0$ uniform verdeeld is op $[0,1]$, maar onder $H_1$ "super-uniform" is (d.w.z. de kansdichtheid is stijgend).

Constructie van E-processen:
De auteurs stellen een algoritme voor waarbij het e-proces wordt opgebouwd als een product van sequentiële e-waarden:
$$M_t = \prod_{s=1}^t E_s$$
waarbij $E_s = f_s(1 - Y_s)$ en $f_s$ een "calibrator" is (een dalende functie die integreert tot 1).

Ze presenteren drie specifieke constructiestrategieën:

1. Vaste calibrators met adaptieve gewichten: Gebruik van een vaste calibrator (bijv. $-\log(p)$) met gewichten $\lambda_t$ die adaptief worden gekozen op basis van eerdere data om de kracht te maximaliseren.
2. Online Grenander (OG) e-processen: Gebruik van de Online Grenander-schatter om een dalende dichtheidsfunctie te schatten die de data best past. Dit is een data-gedreven calibrator.
3. Gemiddelde e-processen: Een combinatie (arithmetic mean) van de adaptieve gewicht-methode en de OG-methode. Dit benut de voordelen van beide en biedt vaak de beste prestaties.

3. Belangrijkste Bijdragen

1. Anytime-Validiteit: De voorgestelde procedures controleren de Type I-fout onder willekeurige stoptijden. Dit maakt ze ideaal voor real-time streaming-toepassingen en autonome agents.
2. Uniciteit en Admissibiliteit: Onder milde aannames is de voorgestelde klasse van e-processen de enige klasse van toelaatbare (admissible) en onbevooroordeelde (unbiased) sequentiële toetsen. Dit is een fundamenteel theoretisch resultaat.
3. Adaptieve Kracht: Door adaptieve gewichten en de Online Grenander-algoritme te gebruiken, kunnen de methoden zich aanpassen aan de data en vaak betere prestaties leveren dan bestaande methoden, zelfs zonder sequentiële validiteit.
4. Theoretische Krachtgaranties: De auteurs bewijzen asymptotische resultaten waarbij de kans op het detecteren van een watermerk naar 1 gaat (kracht = 1) onder specifieke voorwaarden, zelfs bij complexe NTP-verdelingen.
5. Algemene Toepasbaarheid: Hoewel gemotiveerd door LLM-watermerken, is het kader toepasbaar op elk online toetsingsprobleem waarbij onafhankelijke pivot-statistieken beschikbaar zijn.

4. Resultaten

De auteurs evalueren hun methode op gesimuleerde data en op tekst gegenereerd door het open-source model OPT-1.3B met het Gumbel-max watermerk. Ze vergelijken hun e-processen met bestaande som-gebaseerde methoden (zoals $h_{ars}$, $h_{log}$, en geoptimaliseerde versies).

Kernbevindingen:

• Type I-fout Controle: Alleen de e-processen-methoden tonen robuuste controle van de Type I-fout in zowel vaste steekproef- als sequentiële setups. Som-gebaseerde methoden leiden in sequentiële detectie tot een explosie van de Type I-fout.
• Statistische Kracht:
  • Sommige som-gebaseerde methoden hebben in sommige scenario's een iets hogere kracht (lagere Type II-fout), maar dit gaat ten koste van de geldigheid.
  • De gemiddelde e-proces (combinatie van adaptief en OG) presteert vergelijkbaar met de beste som-methoden en overtreft deze zelfs in bepaalde scenario's (bijv. bij lage temperaturen en specifieke tekstdoelen), terwijl hij wel de strenge sequentiële validiteit behoudt.
• Robuustheid bij Degeneratie: Bij lage temperaturen (waar de NTP-verdeling bijna deterministisch wordt) vertonen som-methoden een lichte toename in Type II-fouten. E-processen blijven daarentegen een consistente en monotoon dalende Type II-fout vertonen, wat ze beter geschikt maakt voor lange, deterministische teksten.

5. Significatie

Dit artikel biedt een fundamentele verschuiving in hoe LLM-watermerkdetectie wordt benaderd. Door over te stappen van p-waarden naar e-processen, lossen de auteurs het kritieke probleem van "optional stopping" op, wat essentieel is voor de toekomstige integratie van AI in real-time systemen en autonome agents.

De methode biedt niet alleen een theoretisch onderbouwd kader dat de enige toelaatbare oplossing is voor dit type toetsing, maar levert ook in de praktijk superieure of vergelijkbare prestaties op zonder de statistische strengheid te compromitteren. Dit maakt het een cruciale tool voor het waarborgen van integriteit in digitale ecosystemen in een tijdperk van toenemende AI-automatisering.