Wie beweise ich, dass ein Modell auf einvernehmlich bereitgestellten Daten trainiert wurde, ohne den Datensatz preiszugeben?

Dezentrale KI-Netzwerke ermöglichen es jedem, Rechenleistung oder Daten zum Training eines gemeinsamen Modells beizutragen, doch es gibt keinen Mechanismus, mit dem ein nachgelagerter Nutzer oder Regulierer überprüfen kann, dass das Trainingskorpus vergiftete, gestohlene oder nicht einvernehmlich bereitgestellte Daten ausgeschlossen hat, ohne dass das Netzwerk preisgibt, womit es trainiert wurde. Datenprovenienz ist heute entweder ein signiertes Manifest, das Beitragende selbst bestätigen, oder ein zentralisiertes Audit, das den Zweck der Dezentralisierung untergräbt. Ein Papier vom Februar 2025 über Activation-Inversion-Angriffe zeigte, dass Trainingsdaten teilweise aus Gradient-Signalen rekonstruiert werden können, die während des Federated Trainings ausgetauscht werden, was bedeutet, dass jedes Provenienzschema, das das Teilen von Gradienten erfordert, auch Daten preisgibt. Die OWASP-LLM-Top-Ten von 2025 listet Supply-Chain-Datenvergiftung explizit als Kategorie ohne standardisierte Gegenmaßnahme für offene, dezentrale Trainingsläufe auf.