Como auditar se uma IA realmente “esqueceu” um dado: o novo framework do Google Research que promete cortar em milhões o custo do teste

Resumo: O Google Research publicou o Regularized f-Divergence Kernel Test, um framework para auditar machine unlearning — o processo de fazer um modelo “esquecer” dados específicos, como manda a LGPD e o direito ao apagamento. O trabalho, apresentado no AISTATS 2026 por Mónica Ribero, Antonin Schrab e Arthur Gretton, propõe um teste estatístico que pergunta: o modelo pós-desaprendizado está mais próximo do modelo retreinado sem aquele dado ou do original comprometido? A resposta vem com custo experimental muito menor — em benchmarks, milhares de amostras onde métodos anteriores precisavam de milhões.

O problema técnico: “esquecer” é difícil, provar que esqueceu é pior

Legislações como GDPR, LGPD e a AI Act europeia consagram o direito ao apagamento. Se um usuário pede que seus dados sejam removidos, a empresa precisa não só apagar o registro do banco, mas também garantir que modelos treinados naquele dado “não se lembrem” dele. Retreinar do zero excluindo o dado é caro; então nasceu a área de machine unlearning, com técnicas que aproximam esse retrain sem pagar seu custo.

A auditoria é o outro lado da moeda. Como um regulador ou pesquisador externo, sem acesso ao modelo original nem aos dados de treino, verifica se o unlearning funcionou de fato? A abordagem tradicional é comparar as distribuições de saída do modelo com o modelo retrainado de verdade, mas isso precisa de MUITAS amostras — dezenas de milhões em alguns cenários — e vira inviável.

O framework do Google reformula a pergunta em termos de distância relativa. Em vez de perguntar “as distribuições são iguais?”, pergunta “o modelo pós-unlearning está mais próximo de que alternativa?”. Essa mudança, combinada a testes de kernel de duas amostras com f-divergência regularizada, aumenta a sensibilidade e reduz o custo experimental. Em benchmarks como o mecanismo SVT3 de privacidade diferencial, detectou violações com poucos milhares de amostras onde o DP-Auditorium precisava de milhões.

Por que importa — e status no Brasil

A LGPD impõe direitos de apagamento e portabilidade, mas a ANPD ainda amadurece sua doutrina técnica sobre modelos de machine learning. A discussão brasileira sobre PL 2338/2023 (marco da IA) traz obrigações de rastreabilidade, e o consenso técnico começa a assumir que “apagou o dado do banco” não basta — o modelo derivado precisa esquecê-lo também. Para empresas que treinam LLMs, sistemas de recomendação ou modelos de crédito no Brasil, esse framework é insumo importante para construir programas de compliance e auditoria interna.

Riscos e limitações

Três ressalvas importantes. Primeiro, os experimentos publicados são em benchmarks sintéticos e datasets de física de altas energias, e não em grandes modelos de linguagem — que são justamente onde a pressão regulatória será maior. Provar que um LLM de centenas de bilhões de parâmetros esqueceu uma pessoa específica é problema em aberto. Segundo, o teste responde uma pergunta binária (“mais próximo de A ou B”) e não fornece garantia individual — o dado daquele usuário pode continuar recuperável por ataque adversarial mesmo com o teste passando. Terceiro, adoção depende de padronização: só faz sentido se reguladores e certificadoras concordarem no protocolo.

Cenário para os próximos anos

Esperem ver este tipo de teste virar componente de AI audits obrigatórios em setores regulados — bancos, saúde, seguros. Fornecedores de plataformas de MLOps (Databricks, Weights & Biases, Vertex AI, SageMaker) devem incorporar módulos de unlearning e auditoria no roadmap dos próximos 12 meses. E, dado que a UE já sinaliza padronização via AI Act, é bem provável que a ANPD siga em breve com guias técnicos derivados desse ecossistema. Startups brasileiras que atuam em privacy tech e AI governance (Data Privacy Brasil, InCogNet e afins) devem ganhar terreno.

Conclusão prática

Se você é engenheiro de ML, ligue os termos “machine unlearning” e “auditoria por kernel” no seu radar — vão pipar em RFPs e checklists de compliance no próximo ano. Se você é DPO ou responsável por LGPD, use o framework como argumento para pedir orçamento: existe alternativa técnica ao retrain integral, e ela é auditável a custo razoável. Se você é advogado de privacidade, esse é o tipo de literatura que ancora argumentação sobre “medidas técnicas apropriadas”. E, como sempre em temas de privacidade e segurança, uma consulta jurídica especializada é indispensável antes de assinar qualquer termo de tratamento de dados.

Fonte original: New framework for auditing machine unlearning — Google Research Blog.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

DuneSlide: duas CVEs criticas no Cursor abrem RCE zero-click via prompt injection em CI e MCP servers

CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…

10 horas ago

Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…

10 horas ago

Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…

10 horas ago

Medtronic confirma vazamento de dados de 3,8 milhões de pacientes em ataque atribuído ao ShinyHunters

Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…

1 dia ago

Decisão da Suprema Corte dos EUA sobre agências independentes ameaça acordo de transferência de dados UE-EUA

Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…

1 dia ago

Hackers norte-coreanos publicam 108 pacotes maliciosos em npm, Go e Chrome na campanha PolinRider

Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…

1 dia ago