ICML 2026 Memorization & Trustworthy FMs
Extraction · Membership Inference · Unlearning · Agent Memory · Copyright

Memorization in Trustworthy Foundation Models

MemFM 2026 논문군을 memorization spectrum, adaptive extraction risk, membership inference, data reconstruction, machine unlearning, deployment-time memory, benchmark contamination, copyright, privacy와 lifecycle governance의 관점에서 통합한다.

중심 명제

Foundation model의 신뢰성은 아무것도 기억하지 않는 데서 나오지 않는다. 필요한 지식과 skill은 유지하되, 어떤 정보가 어디에 저장되고 어떤 조건에서 추출되며 삭제요청 이후 어느 memory tier에 잔류하는지를 통제할 수 있어야 한다.
44공식 논문
5구두발표
18연구질문
20Open Problems
01

전체 연구 지형

Memorization을 단순 overfitting이 아니라 storage, extractability, privacy, copyright, deletion과 agent lifecycle을 연결하는 시스템 문제로 본다.

Verbatim·Near-Verbatim ExtractionExact recallSimilarity-ball riskDecoding attacks
Semantic·Functional MemorizationParaphraseCode logicStructural templates
Membership InferenceLossLikelihood ratioIterative regeneration
Data ReconstructionImage inversionEmbedding recoveryMedical privacy
Machine UnlearningRetraining equivalenceCertified deletionForget-set curation
Suppression·Editing·ErasingRefusalRepresentation attenuationRecovery resistance
Agent Deployment MemoryRaw memorySummaryVector storeKV cache
Training DynamicsRepetitionLabel noiseScaleLocal coverage
Dataset DuplicationExact duplicateSemantic duplicateGradient equivalence
Benchmark ContaminationSynthetic adjacencyBenchmaxxingInflation score
Multimodal MemorizationVideoImageTabularProteinCode
Privacy-Preserving LearningDifferential privacyAnonymizationPruning
Model Extraction·DistillationAdaptive studentDataset watermarkRadioactivity
Legal·GovernanceCopyrightDeletion rightOwnershipClaim certification
Data IngestionParametric·External MemoryRetrieval & ExtractionRisk AuditDeletion PropagationCertification
Trustworthy Foundation-Model Memory = Useful Knowledge + Source Separation + Adversarial Auditing + Modular Deletion + Provenance Governance
02

Definition

Exact, semantic, functional, structural, parametric, external memory와 unlearning을 정리한다.

Memorization

Foundation model이 training sample에 특이적인 정보를 parameter 또는 external memory에 보존하는 현상이다.

Verbatim Memorization

Training sequence가 동일하거나 거의 동일한 문자열로 재생성되는 현상이다.

Near-Verbatim Memorization

단어교체, punctuation 변화, 문장분할과 국소 paraphrase만 존재하는 재생성이다.

Semantic Memorization

표현은 달라도 특정 사실, 이야기, label과 의미구조가 training data에서 유지되는 현상이다.

Functional Memorization

Text overlap은 낮지만 training example과 기능적으로 동일한 logic이나 behavior를 재현하는 현상이다.

Structural Memorization

일반 법칙보다 training set에서 반복된 template, 형태, fold와 패턴을 우선 재사용하는 현상이다.

Parametric Memory

Model weight 자체에 인코딩된 기억으로 빠른 inference를 제공하지만 출처추적과 개별삭제가 어렵다.

External Memory

Document store, vector DB, summary, cache, conversation history와 tool state처럼 weight 외부에 저장된 기억이다.

Extraction

Prompt, decoding, fine-tuning 또는 adversarial procedure를 통해 memorized information을 실제 output으로 유도하는 과정이다.

Membership Inference

특정 sample이 training set에 포함되었는지 추정하는 공격 또는 감사절차다.

Data Reconstruction

Parameter, gradient, embedding, output 또는 cache에서 원본 training sample을 복원하는 문제다.

Machine Unlearning

Forget set의 training influence를 제거해 삭제 후 model이 retain data로 재학습한 model과 구분되지 않도록 만드는 절차다.

Suppression versus Deletion

특정 output을 막는 것과 underlying representation·training influence를 제거하는 것은 서로 다른 목표다.

Certified Unlearning

Unlearned model과 retrained model의 distribution 차이가 수학적으로 제한됨을 보장하는 삭제방식이다.

Deployment-Time Memorization

Agent가 사용자 상호작용 중 생성한 raw memory, summary, index와 cache에 정보를 저장하는 현상이다.

03

Problem Definition

Storage, extractability, deletion, agent memory, duplication, contamination과 legal claim의 간극을 정의한다.

Memorization–Generalization Gap

Memorization과 generalization은 단순한 반대개념이 아니며 sparse fact와 general rule이 다른 subspace에 공존할 수 있다.

Storage–Extractability Gap

정보가 weight에 저장되었다는 사실과 일반 prompt에서 쉽게 출력된다는 사실은 다르다.

Exact–Semantic–Functional Gap

Exact string metric은 paraphrase, code logic, structural template와 semantic recall을 놓친다.

Fixed-Prompt–Adaptive-Adversary Gap

고정 prompt에서 성공한 defense도 prompt, decoding, embedding과 fine-tuning을 바꾸는 attacker에게 우회될 수 있다.

Suppression–Deletion Gap

Direct prompt에서 target이 사라져도 linear probe, teacher forcing과 recovery fine-tuning으로 복원될 수 있다.

Forget-Request–Forget-Set Gap

자연어 삭제요청을 training record, duplicate, paraphrase와 supporting document 집합으로 변환하기 어렵다.

Forget-Only–Retained-Data Gap

Retain data나 training state 없이 정확한 retraining target을 식별할 수 없는 경우가 존재한다.

Model-Weight–Deployment-Memory Gap

Long-lived agent에서는 conversation store, summary, index와 KV cache가 별도 memory surface를 형성한다.

Raw Deletion–Derived Residue Gap

Raw record를 지워도 summary, embedding, profile, cache와 analytics log에 정보가 남을 수 있다.

Privacy–Personalization Gap

Memory를 줄이면 leakage는 감소하지만 personalization utility도 함께 감소할 수 있다.

Scale–Duplication Gap

작은 model과 큰 model은 semantic duplicate를 서로 다르게 인식할 수 있다.

Repetition–Data-Efficiency Gap

Data 반복은 token budget을 채우지만 특정 repetition regime에서 generalization을 악화시킬 수 있다.

Decontamination–Benchmaxxing Gap

Exact test item이 없어도 benchmark-adjacent synthetic data가 score를 부풀릴 수 있다.

Capability–Metacognition Gap

동일 accuracy 하락이라도 scale, quantization, memory degradation 등 원인에 따라 confidence behavior가 달라진다.

Visual Evidence–Parametric Prior Gap

Multimodal model은 관측된 visual evidence보다 parametric script를 우선할 수 있다.

Sample-Level–Model-Level Audit Gap

정밀 membership attack은 비용이 높아 전체 model의 privacy risk를 빠르게 평가하기 어렵다.

Legal Claim–Technical Metric Gap

Non-retention, non-reproduction, deletion, copyright compliance는 서로 다른 technical guarantee를 요구한다.

04

Core Concepts

Exposure, canary, adversarial work, fact localizability, forgetting residue와 inflation score를 정리한다.

Exposure

Canary의 rank를 이용해 brute-force extraction search space가 얼마나 줄었는지 측정한다.

Probabilistic Extraction

Target sequence 또는 similarity ball에 할당된 total generation probability를 측정한다.

Canary

Training data에 삽입하는 고유 sequence로 memorization dose response와 unlearning residue를 추적한다.

Local Coverage

Training sample 주변 density가 낮을수록 isolated sample reproduction risk가 증가할 수 있다.

Memorization Basin

다양한 prompt가 동일 memorized output으로 수렴하는 low-energy region을 의미한다.

Adversarial Work Criterion

Target content 추출에 필요한 최소 computational work를 defense strength로 사용한다.

Same-Output Plane

동일 output token을 생성하는 hidden state의 geometry를 이용해 forget sample만 selective하게 이동시킨다.

Fact Localizability

Sparse fact를 general rule과 독립적인 residual subspace에 저장할 수 있는 성질이다.

Memory Adapter

Document 또는 document group의 update를 작은 adapter에 격리해 즉시 비활성화 가능한 memory unit으로 만든다.

Forgetting Residue

삭제 이후 summary, embedding, cache와 다른 derived tier에서 target information이 복구되는 정도다.

Structured Memory Partitioning

Memory를 domain, sensitivity, user, task와 lifespan별 namespace로 분리한다.

Benchmark Inflation Score

Benchmark-adjacent augmentation이 benchmark와 capability-matched holdout 간 gap을 얼마나 확대했는지 측정한다.

Watermark Radioactivity

Watermarked dataset으로 학습된 model output에 남는 약한 statistical signal을 이용해 dataset usage를 감사한다.

Iterative Regeneration

Generation output을 다시 입력해 member sample의 coherence가 더 오래 유지되는지를 측정한다.

Curvature Localization

Random-label memorization처럼 sparse한 high-curvature spike가 representation에 집중되는 정도를 측정한다.

05

Introduction

Memorization 연구는 train–test gap에서 governed memory architecture로 발전한다.

Stage 1 — Training-Data Overfitting

Train loss와 test loss 차이로 memorization을 간접 측정한다.

Stage 2 — Canary and Verbatim Extraction

고유 sequence를 삽입하고 prefix prompting으로 exact recovery를 측정한다.

Stage 3 — Membership and Reconstruction

Loss, likelihood ratio, gradient와 inversion으로 membership과 원본 data를 복원한다.

Stage 4 — Semantic·Functional Memorization

Paraphrase, code behavior, numeric label과 structural template까지 audit 범위를 확장한다.

Stage 5 — Machine Unlearning

Forget set의 training influence를 제거하고 retraining model과의 equivalence를 평가한다.

Stage 6 — Agent and Deployment Memory

Conversation store, summary, retrieval index와 KV cache를 별도 memory surface로 관리한다.

Stage 7 — Adversarial and Lifecycle Evaluation

Adaptive attacker, fine-tuning, repeated regeneration, recovery training과 provenance 전체를 평가한다.

Stage 8 — Governed Memory Architecture

Knowledge, skill, copyrighted data와 user information을 modular하게 저장하고 lifecycle policy로 관리한다.

06

Motivation and Background

Useful retention, privacy, copyright, fine-tuning reactivation, agent memory와 benchmark integrity가 연구를 촉진한다.

어느 정도의 Memorization은 필수

사실, 언어규칙, 전문지식, code idiom, tool use와 personalization을 제공하려면 정보보존이 필요하다.

Unintended Memorization은 Privacy Risk

Email, 의료영상, user profile과 proprietary code가 추출되면 직접적인 privacy breach가 된다.

Memorization은 저작권과 연결

Protected expression의 verbatim·near-verbatim reproduction 가능성은 training membership과 별도의 법적 위험을 만든다.

Fine-Tuning은 Latent Memory를 재활성화

Base model에서 억제된 content가 downstream fine-tuning으로 다시 추출 가능해질 수 있다.

Long-Lived Agents는 새로운 Memory System

Personalization을 위해 만든 external memory가 cross-context leakage와 deletion inconsistency를 만든다.

Synthetic Data도 Contamination을 만들 수 있음

원문을 포함하지 않아도 benchmark reasoning template와 answer distribution을 과도하게 학습할 수 있다.

Unlearning 평가는 공격자 중심이어야 함

Direct prompt failure만으로 deletion을 주장할 수 없으며 probe, recovery와 adaptive attack이 필요하다.

07

Challenges

정의 모호성, adaptive extraction, true deletion, forget-set curation, derived residue, privacy–utility와 legal alignment가 핵심 난제다.

도전과제핵심 문제요구되는 방향
Definition ambiguityMemorization 의미가 metric마다 다름Exact·semantic·functional taxonomy
Extraction search spaceNear-verbatim 후보가 조합적으로 큼Constrained decoding·lower bounds
Adaptive attacks고정 prompt defense를 우회Adversarial work evaluation
Suppression–deletionOutput 감소가 representation 삭제를 보장하지 않음Probe·relearning·retraining equivalence
Forget-set curation자연어 삭제요청을 record 집합으로 변환하기 어려움Provenance-aware retrieval
Retain utility삭제가 정상지식과 shared path를 손상Geometry·modular memory
Forget-only impossibilityRetained data 없이 retraining target 식별 불가Training state·memory certificates
Agent memory leakagePersonalization memory가 unrelated context에 노출Partition·query-scoped retrieval
Derived residueRaw 삭제 후 summary·embedding에 잔류Full provenance purge
Membership costReference model 다수가 필요Model-level vulnerability predictors
Data duplicationDuplicate 기준이 model scale에 따라 변화Scale-adaptive deduplication
Repetition damage반복량과 subset 크기의 비선형 영향Compute-equivalent diagnostics
Benchmark contaminationSynthetic benchmark-adjacent data 탐지 어려움Fresh counterfactual benchmarks
Multimodal memorizationText metric이 image·video·protein에 부적합Modality-specific audits
Functional equivalenceCode logic가 text overlap 없이 재현Execution-based metrics
Privacy–utilityDP와 anonymization이 capability를 저하시킴Evidence-bearing private outputs
Distillation attacksUseful output가 model 복제를 지원Adaptive student evaluation
Medical privacyRare sample이 재구성될 수 있음Class-level memorization audit
Legal alignmentTechnical metric과 legal claim 불일치Claim-specific certification
Benchmark reproducibilityPrompt, decoder, seed, attack budget에 민감Standardized threat models
08

Research Questions

Memorization spectrum, latent memory, adaptive extraction, unlearning, agent lifecycle와 legal certificate를 중심으로 정리한다.

RQ1

Verbatim, near-verbatim, semantic, functional과 structural memorization을 하나의 위험척도로 통합할 수 있는가?

RQ2

Model이 정보를 저장했지만 현재 prompt에서는 출력하지 않는 경우를 어떻게 검출할 것인가?

RQ3

Adaptive adversary에 대해 extraction cost의 하한을 어떻게 증명할 것인가?

RQ4

Fine-tuning이 새로운 정보를 학습한 것인지 latent pretraining memory를 재활성화한 것인지 어떻게 구분할 것인가?

RQ5

Model scale에 따라 semantic duplicate의 정의를 동적으로 바꿔야 하는가?

RQ6

Data repetition이 memorization, generalization과 compute efficiency에 미치는 phase transition은 무엇인가?

RQ7

Forget request에서 정확한 forget set과 모든 supporting duplicate를 어떻게 발견할 것인가?

RQ8

Output suppression과 true training-influence deletion을 실용적으로 구분할 최소 probe set은 무엇인가?

RQ9

Retain data 없이 certified unlearning이 가능한 조건은 무엇인가?

RQ10

Model architecture 단계에서 fact와 rule을 분리해 선택적으로 삭제할 수 있는가?

RQ11

Agent의 raw memory, summary, embedding, cache와 inferred profile을 일관되게 삭제할 수 있는가?

RQ12

Personalization utility를 유지하면서 cross-context memory leakage를 얼마나 줄일 수 있는가?

RQ13

Reference model 없이 전체 model의 membership-inference vulnerability를 예측할 수 있는가?

RQ14

Benchmark-adjacent synthetic data와 진정한 reasoning transfer를 어떻게 구분할 것인가?

RQ15

Machine-generated text detector와 membership detector의 통합이 privacy에 어떤 영향을 미치는가?

RQ16

Medical, tabular, code, diffusion, video와 protein model에서 memorization의 공통기제가 존재하는가?

RQ17

DP synthetic data가 novel knowledge와 검증가능한 evidence를 전달할 수 있는가?

RQ18

저작권, 삭제권과 dataset ownership claim에 필요한 technical certificate는 무엇인가?

09

Approaches / Methods

대표 연구를 extraction, unlearning, privacy, agent memory, duplication, diffusion, benchmark와 domain audit 기준으로 탐색할 수 있다.

copyright

Alignment Whack-a-Mole

Fine-tuning이 latent pretraining memory의 retrieval path를 활성화해 저작권 도서의 장문 reproduction을 유발하는지 분석한다.

extraction

Decoding-Constrained Beam Search

Similarity constraint를 만족하는 near-verbatim sequence 집합의 probability mass에 대한 결정론적 하한을 계산한다.

agent

Deployment-Time Memorization

Summarization aggressiveness와 retrieval breadth가 personalization, extraction, forgetting residue에 미치는 영향을 분석한다.

context

KVEraser

삭제 span 이후의 KV cache 전체 재계산 대신 local steering으로 erased-context state를 근사한다.

unlearning

Memory Adapters

Document-specific update를 modular adapter에 격리해 query-specific inclusion과 즉시 unlearning을 지원한다.

defense

Adversarial Work Criterion

Defense를 fixed attack success가 아니라 extraction에 필요한 최소 computational work로 평가한다.

membership

MINT

Machine-text detection과 membership inference의 공통 optimal statistic과 cross-task transfer를 비교한다.

unlearning

Break the Output Geometry

Forget example의 hidden state만 same-output plane 밖으로 이동시켜 retain utility 손상을 줄인다.

code

CodeUnlearn-Bench

Direct prompt, behavioral recovery, fine-tuning, probe와 execution으로 suppression과 deletion을 구분한다.

duplication

Scale-Dependent Duplication

Lexical similarity 대신 gradient alignment로 model-scale-dependent semantic duplicate를 측정한다.

diffusion

Local-Coverage Audit

Training sample 주변 density와 diffusion memorization transition을 분석한다.

privacy

Reference-Free Model-Level MIA

Train·test loss distribution만으로 LiRA 수준의 model vulnerability를 예측한다.

numeric

NumLeak

날짜별 numeric benchmark에서 refuse-or-recall pattern과 최신 holdout degradation을 분석한다.

dp

ContinuousBench

새 private corpus와 rolling QA로 DP synthetic text의 novel capability transfer를 평가한다.

dp

Evidence-Bearing DP Insights

Candidate statement를 DP support test로 검증하고 noisy lower confidence bound와 함께 출력한다.

privacy

Dynamic Data Pruning

Easy sample을 동적으로 줄이고 hard sample을 일찍 학습해 membership vulnerability와 cost를 낮춘다.

distillation

Adaptive Distillation Game

Teacher defense와 adaptive student attack을 min–max game으로 평가한다.

protein

Structural Memorization in AlphaFold

Adversarial mutation과 deletion에 대한 fold·confidence sensitivity로 template reliance를 감사한다.

membership

Iterative-Regeneration MIA

Generation을 반복해 member sample의 coherence degradation 차이를 증폭한다.

reasoning

Reasoning-Trace Audit

Canary containment 차이가 parser·prefix artifact인지 actual memory location인지 sanity check한다.

10

Key Applications

Copyright, privacy, deletion, agents, code, medicine, science, benchmark integrity, ownership과 DP release에 적용된다.

Copyright·Licensing

Book extraction, near-verbatim risk, dataset licensing, fine-tuned derivative model과 protected-expression control.

Privacy Auditing

Membership inference, canary exposure, medical-image reconstruction, PII anonymization과 cross-context leakage.

Right to Deletion·Compliance

User·document-level deletion, adapter revocation, derived-summary purge와 audit certificate.

Long-Lived Agents

Personalized assistant, healthcare·financial agent, enterprise knowledge, tool memory와 user-profile management.

Code Foundation Models

Deprecated API removal, proprietary-code audit, functional equivalence와 license compliance.

Medical Foundation Models

Patient-image reconstruction, rare-sample memorization, hospital-specific privacy와 deletion request.

Scientific Foundation Models

Protein template reliance, physical reasoning versus prior recall, tabular memorization와 numeric recall.

Benchmark Integrity

Test contamination, benchmark-adjacent synthetic data, fresh rolling benchmark와 capability-matched holdout.

Dataset Ownership

Watermark radioactivity, dataset-level membership, distillation detection와 provenance.

Privacy-Preserving Data Release

DP synthetic text, evidence-bearing report, pruning, anonymization과 support certificate.

11

Open Problems

Unified taxonomy, causal theory, worst-case extraction, certified unlearning, provenance, DP transfer와 lifecycle security를 해결해야 한다.

Unified Memorization Taxonomy

Exact, semantic, functional, structural, parametric와 deployment memory를 공통 formalism으로 연결해야 한다.

Causal Theory of Memorization

Architecture, optimization, rarity, repetition과 local density가 memorization을 만드는 원리를 연결해야 한다.

Worst-Case Extraction Risk

Average success가 아니라 bounded adaptive adversary에 대한 worst-case risk를 계산해야 한다.

Semantic Extraction Probability

Near-verbatim·paraphrase 집합의 total probability mass를 scalable하게 추정해야 한다.

Functional and Structural Audits

Code, protein, image와 multimodal model에 적합한 non-textual metric이 필요하다.

Fine-Tuning Reactivation

어떤 fine-tuning direction이 latent memory를 다시 열어주는지 예측해야 한다.

Certified Unlearning at Scale

Billion-parameter model에서 retraining equivalence를 실용비용으로 달성하기 어렵다.

Forget-Set Discovery

Natural-language request를 원본, duplicate, paraphrase와 derived data에 연결해야 한다.

Lifecycle Memory Deletion

Weight, adapter, vector store, summary, cache, log와 inferred profile 전체를 삭제해야 한다.

Memory Provenance

각 output이 어느 document, interaction와 derived memory에서 유래했는지 추적해야 한다.

Unlearning Evaluation Identifiability

Refusal, low likelihood와 trace change가 actual deletion을 식별하는지 검증해야 한다.

Scale-Adaptive Deduplication

Model scale에 따라 exact·semantic duplicate threshold를 조절해야 한다.

Benchmark-Adjacent Synthetic Data

Copied item 없이 benchmark specialization을 만드는 pipeline을 탐지해야 한다.

Agent Memory Governance

누가 memory를 생성, 읽기, 요약, 수정, 삭제할 권한을 갖는지 표준화해야 한다.

Personalization without Profiling

장기 personalization을 제공하면서 민감한 inferred attribute 저장을 최소화해야 한다.

DP Capability Transfer

DP synthetic data가 novel knowledge와 skill을 전달하는 조건을 규명해야 한다.

Legal–Technical Translation

Fair use, deletion, non-retention과 non-reproduction을 측정 가능한 guarantee로 변환해야 한다.

Cross-Cultural Anonymization

PII와 re-identification risk가 언어·문화·행정체계별로 다른 문제를 다뤄야 한다.

Memory-Aware Metacognition

Model이 기억해서 아는지, 추론해서 아는지, 불확실한지 구분해야 한다.

Memory Security Supply Chain

Pretraining, fine-tuning, distillation, serving, agent memory와 deletion을 end-to-end threat model로 연결해야 한다.

12

Future Directions

미래 MemFM은 memory OS, machine-readable contract, adaptive risk profiler, modular memory와 deletion graph로 발전한다.

1. Foundation-Model Memory Operating System

Data ingestion, provenance, storage-tier allocation, access control, risk monitoring, deletion propagation과 certification을 통합한다.

2. Machine-Readable Memory Contract

Source, owner, sensitivity, license, storage tier, retention, allowed use, extraction budget와 deletion rule을 명시한다.

3. Memorization Spectrum Report

Exact, near-verbatim, semantic, functional, structural, membership, reconstruction와 adaptive robustness profile을 공개한다.

4. Adaptive Extraction-Risk Profiler

Prompt, prefix, decoding, fine-tuning, embedding attack과 recovery training을 자동탐색한다.

5. Adversarial Defense Certification

Attack budget별 worst-case extraction risk curve를 제공한다.

6. Modular Parametric Memory

Rule, skill, licensed corpus, organization과 user fact를 서로 다른 adapter·expert·subspace에 저장한다.

7. Provenance-Aware Deletion Graph

Raw interaction 삭제가 summary, embedding, profile, cache, fine-tuning example과 analytics descendant에 전파되도록 한다.

8. Structured Agent Memory

Session, task, long-term, sensitive sealed, inferred와 expiring memory를 분리한다.

9. Memory-Aware Metacognition

Answer source를 parametric recall, retrieved evidence, user memory, context inference와 uncertain synthesis로 표시한다.

10. Fresh and Continuous Benchmarks

Timestamped private corpus, rolling QA, capability-matched holdout와 post-release contamination monitoring을 사용한다.

11. Semantic·Functional Copyright Audit

Exact substring을 넘어 plot, character sequence, code logic, image composition과 protected expression을 감사한다.

12. Evidence-Bearing Private Generation

DP statement에 support lower bound, supporting record count, privacy budget와 abstention status를 함께 제공한다.

13. Dataset Watermark·Provenance Layer

Dataset release에 statistical watermark, license metadata와 lineage identifier를 포함한다.

14. Domain-Specific Memorization Audits

Code는 execution, healthcare는 reconstruction, protein은 mutation sensitivity, agent는 cross-context leakage를 사용한다.

15. Unlearning Capability Levels

Refusal, suppression, representation attenuation, recovery resistance, retraining equivalence와 certified unlearning을 단계화한다.

16. Standard Evaluation Protocol

Extraction, membership, reconstruction, adaptive attack, unlearning, leakage, duplication, benchmark integrity와 provenance를 표준화한다.

13

Conclusion

MemFM은 memorization을 제거할 결함이 아니라 유용성·위험·삭제·권리를 함께 관리해야 하는 governed resource로 재정의한다.

Exact Match → Memorization Spectrum

문자열 복제뿐 아니라 near-verbatim, semantic, functional과 structural memory를 평가한다.

Stored-or-Not → Extractable under Attack

어떤 adversary와 계산자원에서 추출 가능한지가 핵심이 된다.

Static Model → Memory Lifecycle

Weight, adapter, summary, vector store, KV cache와 derived profile을 함께 관리한다.

Suppression → Verifiable Deletion

Refusal만으로 삭제를 주장하지 않고 probe, recovery와 retraining equivalence를 요구한다.

Fixed Forget Set → Provenance-Aware Curation

Natural-language request를 원본, duplicate, paraphrase와 모든 파생물에 연결한다.

Memorization vs Generalization → Structured Coexistence

Rule과 sparse fact를 서로 다른 subspace·module에 저장해 선택적 기억과 generalization을 공존시킨다.

Decontamination → Capability Integrity

Exact item 부재만 확인하지 않고 benchmark-adjacent specialization과 inflation을 측정한다.

Memory as Side Effect → Governed Infrastructure

Memory에 provenance, ownership, access, retention, extraction risk와 deletion policy를 부여한다.

MemFM 2026의 핵심은 foundation model이 기억하는가 아닌가를 묻는 데 있지 않다. 무엇을 어떤 형태로 기억하고, 누가 어떤 공격으로 추출할 수 있으며, 삭제 후 어느 파생 memory에 무엇이 남는지를 검증 가능하게 만드는 데 있다.
14

Sources

공식 워크숍, 구두발표, extraction, membership, unlearning, agent memory, benchmark integrity와 privacy 연구 원문 링크.

ICML 2026 MemFM 워크숍 페이지원문 및 프로젝트 링크MemFM 2026 공식 홈페이지원문 및 프로젝트 링크MemFM OpenReview원문 및 프로젝트 링크전체 채택 논문 목록원문 및 프로젝트 링크전체 논문 제목·초록 데이터원문 및 프로젝트 링크Alignment Whack-a-Mole원문 및 프로젝트 링크Deployment-Time Memorization원문 및 프로젝트 링크KVEraser원문 및 프로젝트 링크Memory Adapters원문 및 프로젝트 링크Near-Verbatim Extraction Risk원문 및 프로젝트 링크Machine Text Detectors Are MIAs원문 및 프로젝트 링크Model-Level MIA Vulnerability원문 및 프로젝트 링크NumLeak원문 및 프로젝트 링크Iterative Regeneration MIA원문 및 프로젝트 링크Functional Memorization in Code LMs원문 및 프로젝트 링크Tabular In-Context Memorization원문 및 프로젝트 링크Rare, Distinctive, Memorized원문 및 프로젝트 링크Healthcare Training-Image Reconstruction원문 및 프로젝트 링크Structural Memorization in AlphaFold원문 및 프로젝트 링크Adversarial Work Criterion원문 및 프로젝트 링크Forget-Only Unlearning Needs Memorization원문 및 프로젝트 링크Break the Output Geometry원문 및 프로젝트 링크Suppression Is Not Deletion원문 및 프로젝트 링크Second-Order Certified Unlearning원문 및 프로젝트 링크Cheap Forgetting원문 및 프로젝트 링크Alignment-Aware Data Selection for VLM Unlearning원문 및 프로젝트 링크What to Forget in Unlearning?원문 및 프로젝트 링크Machine Unlearning Is Overused원문 및 프로젝트 링크Reasoning-Trace Memorization Audit원문 및 프로젝트 링크FIM Memorization Dynamics원문 및 프로젝트 링크Scale-Dependent Data Duplication원문 및 프로젝트 링크Internal Data Repetition원문 및 프로젝트 링크Label-Noise Memorization원문 및 프로젝트 링크Local Coverage in Diffusion Models원문 및 프로젝트 링크Fact Localizability원문 및 프로젝트 링크Geometry of Memorization원문 및 프로젝트 링크Explicit Memory-Driven Agent Framework원문 및 프로젝트 링크SYMBOLICDRIFT원문 및 프로젝트 링크Structured Memory for Agents원문 및 프로젝트 링크MemBoost원문 및 프로젝트 링크Source of Competence Shapes Metacognition원문 및 프로젝트 링크Semantic Gravity원문 및 프로젝트 링크Dataset Watermarking원문 및 프로젝트 링크Evidence-Bearing DP Insights원문 및 프로젝트 링크The Distillation Game원문 및 프로젝트 링크Prune to Protect원문 및 프로젝트 링크ContinuousBench원문 및 프로젝트 링크Spiky Intelligence원문 및 프로젝트 링크Text Anonymizers across Malaysian Contexts원문 및 프로젝트 링크