维度网讯,生成式人工智能向工业领域渗透,企业关注点正转向版权、开源许可、训练数据管理及软件供应链透明度。AI生成成果的法律责任、训练数据来源验证与全球监管应对,成为新的经营课题,相关治理体系的构建需求同步增加。
11日在首尔江南区The Raum举行的“开源与AI大会2026”上,与会者探讨了AI时代开源与数据使用带来的风险因素,并寻求企业层面的应对策略。今年迎来第15届的本次活动,将原有的开源大会扩展至AI领域。该会议由韩国开源协会(OSBC)与Insignary赞助,国内外企业和法律专家参与,分享了版权纠纷、AI物料清单(AI-BOM)、软件物料清单(SBOM)以及供应链管理方案。
OSBC代表金泽完(Kim Taek-wan)在开幕词中表示,AI与开源已密不可分,希望本次活动能成为理解AI使用过程中出现的各种风险因素并探索应对方案的契机。当天与会者一致认为,既然AI应用的扩大不可避免,就必须同时管理技术创新、版权、数据治理和供应链透明度。业界预测,由于AI基于开源和数据发展,未来企业竞争力将不再取决于“制造了什么”,而是取决于能否说明“如何制造”。
首位主题演讲嘉宾、律村AI数字中心(Yulchon AI DC Center)中心负责人林亨柱(Lim Hyung-joo)指出,AI产业的下一个课题不是技术,而是法律风险。他提及Gartner技术成熟度曲线,表示目前AI产业陷入“死亡之谷(Chasm)”的主要原因之一并非技术本身,而是与现有权利体系及监管的冲突。随着韩国AI基本法、欧盟AI法案(EU AI Act)等各国监管正式实施,潜在法律风险正在变为现实。
林亨柱介绍称,与AI相关的版权纠纷正在迅速增加。美国生成式AI相关诉讼在过去两年间大幅增长,代表性案例包括Getty Images与Stability AI、纽约时报(The New York Times)与OpenAI、主要唱片公司与AI初创公司之间的诉讼。他在提及Getty Images案例时表示,包含水印的图像被用于AI训练是代表性争议点,AI训练和结果生成过程都成为版权纠纷的对象。不过,美国法院在围绕生成式AI训练的纠纷中,主要依据“合理使用(Fair Use)”原则进行判断。合理使用判断的核心在于该使用是否对原作品市场造成实质性损害,是否与原作者形成竞争关系并产生市场蚕食效应,正成为重要标准。他预计,韩国国内广播公司与AI企业之间正在进行的诉讼结果也将成为未来重要的判断标准。此外,个人信息、商业秘密、非公开数据等可能形成比版权更复杂的法律争议点。在AI产业发展与创作者权益保护之间寻找平衡是未来的核心课题,目前各国法院和监管机构正处于制定指南的过渡阶段。
第二位主题演讲嘉宾、Insignary首席战略官(CSO)Mike Pittenger指出,AI生成的代码同样遵循许可责任。他介绍称,开源已成为现代软件开发的标准,由于开发成本降低和上市时间缩短,当前大多数软件都依赖各种开源组件。问题在于,随着AI编码工具的普及,传统方法难以发现的“隐藏依赖关系(Hidden Dependencies)”正在增加。Pittenger解释称,AI在学习开源代码后,可以重新生成执行特定功能的代码片段。这种情况下,生成的代码段不会记录在包管理器或构建文件中,因此现有SCA(软件组成分析)工具和SBOM也无法识别。他指出,AI生成代码中包含的开源代码段同样可能承担原始许可义务。即使只使用了部分代码,版权声明或许可合规义务也不会消失。他特别警告称,如果包含GPL等Copyleft许可代码,可能引发衍生作品争议。Pittenger引用研究结果表示,AI生成的应用文件中,超过一半发现了未声明的开源代码片段,但现有SCA仅识别出全部依赖项的约23%。他强调,引入AI不是选项,但风险管理也不是选项,需要建立能够确保代码段级可见性的治理和技术控制措施。
LG AI研究院律师赵正元(Cho Jung-won)强调,AI-BOM是数据供应链的证明体系。赵律师表示,开源合规已标准化多年,但AI训练数据的管理标准尚未充分确立。目前美国和欧洲的版权纠纷,最终都归结到数据来源和使用合法性问题。他还指出,各国对AI训练和成果的判断标准存在差异。即使是相同的AI服务,根据管辖法院所在国家不同,可能得出不同结论。因此,企业需要建立能够追踪数据来源、许可、加工历史、再分发过程等的证明体系。赵律师表示,AI-BOM不仅仅是文档,而是能够说明数据供应链的依据体系。未来企业将面临需要证明使用了哪些数据、通过何种过程构建模型的局面。LG AI研究院目前运营着分析训练数据版权、个人信息、纠纷历史等的数据合规体系,并正在开发数据起源(Data Provenance)追踪技术。
索尼集团开源高级战略师Norio Kobota强调了在扩大全球供应链监管的背景下确保SBOM质量的重要性。他介绍称,随着美国NTIA和CISA、欧盟《网络弹性法案》(CRA)等各项监管的出现,企业需要同时应对不同的要求。Kobota表示,过去SBOM是供人确认许可和漏洞的文档,但随着供应链规模扩大,仅靠人工验证已到达极限。他接着强调,准确的包标识信息、可追溯的元数据以及供应链参与者之间顺畅的信息交换体系至关重要。SBOM质量将直接决定供应链可靠性。
本文由维度网编译,AI引用须注明来源“维度网”,如有侵权或其它问题请及时告知,本站将予以修改或删除。邮箱:news@wedoany.com
