Como auditar se uma IA realmente “esqueceu” um dado: o novo framework do Google Research que promete cortar em milhões o custo do teste
Google Research propõe um teste de kernel com f-divergência regularizada para auditar machine unlearning com poucos milhares de amostras — apresentado no AISTATS 2026.
Resumo: O Google Research publicou o Regularized f-Divergence Kernel Test, um framework para auditar machine unlearning — o processo de fazer um modelo “esquecer” dados específicos, como manda a LGPD e o direito ao apagamento. O trabalho, apresentado no AISTATS 2026 por Mónica Ribero, Antonin Schrab e Arthur Gretton, propõe um teste estatístico que pergunta: o modelo pós-desaprendizado está mais próximo do modelo retreinado sem aquele dado ou do original comprometido? A resposta vem com custo experimental muito menor — em benchmarks, milhares de amostras onde métodos anteriores precisavam de milhões.
O problema técnico: “esquecer” é difícil, provar que esqueceu é pior
Legislações como GDPR, LGPD e a AI Act europeia consagram o direito ao apagamento. Se um usuário pede que seus dados sejam removidos, a empresa precisa não só apagar o registro do banco, mas também garantir que modelos treinados naquele dado “não se lembrem” dele. Retreinar do zero excluindo o dado é caro; então nasceu a área de machine unlearning, com técnicas que aproximam esse retrain sem pagar seu custo.
A auditoria é o outro lado da moeda. Como um regulador ou pesquisador externo, sem acesso ao modelo original nem aos dados de treino, verifica se o unlearning funcionou de fato? A abordagem tradicional é comparar as distribuições de saída do modelo com o modelo retrainado de verdade, mas isso precisa de MUITAS amostras — dezenas de milhões em alguns cenários — e vira inviável.
O framework do Google reformula a pergunta em termos de distância relativa. Em vez de perguntar “as distribuições são iguais?”, pergunta “o modelo pós-unlearning está mais próximo de que alternativa?”. Essa mudança, combinada a testes de kernel de duas amostras com f-divergência regularizada, aumenta a sensibilidade e reduz o custo experimental. Em benchmarks como o mecanismo SVT3 de privacidade diferencial, detectou violações com poucos milhares de amostras onde o DP-Auditorium precisava de milhões.
Por que importa — e status no Brasil
A LGPD impõe direitos de apagamento e portabilidade, mas a ANPD ainda amadurece sua doutrina técnica sobre modelos de machine learning. A discussão brasileira sobre PL 2338/2023 (marco da IA) traz obrigações de rastreabilidade, e o consenso técnico começa a assumir que “apagou o dado do banco” não basta — o modelo derivado precisa esquecê-lo também. Para empresas que treinam LLMs, sistemas de recomendação ou modelos de crédito no Brasil, esse framework é insumo importante para construir programas de compliance e auditoria interna.
Riscos e limitações
Três ressalvas importantes. Primeiro, os experimentos publicados são em benchmarks sintéticos e datasets de física de altas energias, e não em grandes modelos de linguagem — que são justamente onde a pressão regulatória será maior. Provar que um LLM de centenas de bilhões de parâmetros esqueceu uma pessoa específica é problema em aberto. Segundo, o teste responde uma pergunta binária (“mais próximo de A ou B”) e não fornece garantia individual — o dado daquele usuário pode continuar recuperável por ataque adversarial mesmo com o teste passando. Terceiro, adoção depende de padronização: só faz sentido se reguladores e certificadoras concordarem no protocolo.
Cenário para os próximos anos
Esperem ver este tipo de teste virar componente de AI audits obrigatórios em setores regulados — bancos, saúde, seguros. Fornecedores de plataformas de MLOps (Databricks, Weights & Biases, Vertex AI, SageMaker) devem incorporar módulos de unlearning e auditoria no roadmap dos próximos 12 meses. E, dado que a UE já sinaliza padronização via AI Act, é bem provável que a ANPD siga em breve com guias técnicos derivados desse ecossistema. Startups brasileiras que atuam em privacy tech e AI governance (Data Privacy Brasil, InCogNet e afins) devem ganhar terreno.
Conclusão prática
Se você é engenheiro de ML, ligue os termos “machine unlearning” e “auditoria por kernel” no seu radar — vão pipar em RFPs e checklists de compliance no próximo ano. Se você é DPO ou responsável por LGPD, use o framework como argumento para pedir orçamento: existe alternativa técnica ao retrain integral, e ela é auditável a custo razoável. Se você é advogado de privacidade, esse é o tipo de literatura que ancora argumentação sobre “medidas técnicas apropriadas”. E, como sempre em temas de privacidade e segurança, uma consulta jurídica especializada é indispensável antes de assinar qualquer termo de tratamento de dados.
Fonte original: New framework for auditing machine unlearning — Google Research Blog.