OSCHINA

在人工智能技術迅猛發展的當下，軟件開發領域正經歷著深刻變革。

4 月 17 日，開源中國成功舉辦以“降低風險，人工智能生成代碼時代的許可安全與合規”為主題的網絡研討會，觀看人數超過 30 萬。

三位來自開源、人工智能與安全治理前沿領域的國際專家，深入探討了人工智能生成代碼面臨的合規性與安全性挑戰以及策略、全球開源合規實踐的多樣性，以及可信供應鏈平臺在風險管控中的關鍵作用，為行業發展指明方向，也為企業應對新挑戰提供了寶貴思路。

AI 生成代碼蘊藏巨大潛力，同時面臨著重大挑戰

人工智能生成代碼已在軟件開發工作流中廣泛應用。谷歌超過 25% 的代碼由人工智能編寫；亞馬遜通過人工智能輔助開發已累計節省 2.6 億美元成本，并減少了 4500 名開發者一年的工作量；微軟 CTO 預測，到 2030 年，人工智能將生成 95% 的代碼。這些數據充分彰顯了人工智能生成代碼的巨大潛力。

然而，隨著人工智能生成代碼技術的持續發展及其在軟件開發流程中的深度整合，國際知名企業技術高管、開源與人工智能生態領軍者 Ibrahim Haddad 博士指出，圍繞許可證合規性審查、安全漏洞防范、多源許可證兼容處理、商業秘密保護以及與現有代碼庫集成等維度的挑戰正日益凸顯。

• 許可證合規。這是最顯而易見的挑戰之一。由于 AI 模型可能吸收第三方開源代碼片段進行訓練，其生成的代碼常面臨原始許可條款不明確、版權歸屬模糊等法律風險，導致企業難以履行開源協議義務。

• 安全漏洞風險。人工智能生成的代碼實際上可能會引入常見的漏洞，它可能包括易受攻擊的代碼片段，這些片段來自其學習的數據集。在實踐中，人工智能本質上無法理解安全代碼，除非它已經接受了相關訓練。

• 許可證兼容風險。人工智能生成的代碼可能包含源自訓練數據的開源代碼片段，而這些片段往往附帶特定許可證。若這些代碼的許可證與項目現有許可證不兼容，將導致法律合規的模糊性風險 —— 尤其在 AI 系統無意識復用受版權保護的訓練代碼時，企業可能面臨侵權糾紛。

• 供應鏈風險：當 AI 生成代碼包含復用片段時，下游用戶將難以構建完整的溯源記錄，包括依賴關系、許可證信息及已知漏洞等關鍵元數據。這種信息斷層會直接威脅軟件供應鏈安全。

• 數據隱私與商業秘密泄露風險。當開發者將數據輸入 AI 模型時，對模型提供方的數據使用控制權缺失，可能導致隱私數據濫用或商業秘密泄露。這一風險在涉及敏感信息處理的場景中尤為關鍵。

事實上，人工智能生成代碼還面臨許多其他的挑戰，例如缺乏解釋能力，與現有代碼庫的整合，過度依賴人工智能工具等等。Ibrahim Haddad 博士指出，必須系統性地構建應對機制以化解這些風險，方能最大化地發揮技術工具的價值。

例如，面對人工智能可能無意中生成違反開源協議的代碼片段，或引入未知安全漏洞，同時其與既有代碼的兼容性亦需嚴格驗證等問題，Ibrahim Haddad 博士提出，需部署恰當策略以平衡風險管控與創新效率，在不拖慢創新步伐的前提下，通過工具鏈優化與流程設計（如合規審查、安全掃描及代碼溯源機制）實現風險緩釋，推動人工智能生成代碼的安全落地。

開源合規既是風險控制， 也是價值管理

在人工智能生成代碼時代，企業如果沒有做好開源合規治理，會面臨多方面的風險和負面影響，比如項目延期，引入安全漏洞，客戶信任流失，社區信任受損，引起知識產權風險等等。

“不合規的代價其實遠高于合規本身。” Ibrahim Haddad 博士建議，企業應該建立完善的合規流程，包括代碼掃描、組件識別、許可歸屬標注、修改記錄追蹤，并梳理清晰的義務清單。這不僅僅是為了 “合法”，更是構建長期可持續業務的基礎。

“我們見過太多‘生命線級’的合規風險。在 AI 生成代碼的時代，模型‘懂開源、懂法律 ' 是個偽命題。” 開源中國董事長馬越以實戰經驗敲響警鐘，并用用三個維度解剖 AI 生成代碼面面臨的開源合規風險。

第一，產品風險 ——“起個大早，趕個晚集”。在 AI 生成代碼的時代，模型 “懂開源、懂法律” 是個偽命題。很多開源組件默認可以使用，但一旦發現生成的代碼違反開源協議，產品可能被迫叫停，錯過關鍵發布時間窗口。對企業而言，這等于 “搬起石頭砸自己的腳”，嚴重時甚至會丟掉整個市場先機。

第二，供應鏈風險 ——“看不見的炸彈”。AI 生成的不合規代碼就像病毒，極具隱蔽性但具有傳染性。比如，一家企業用大廠的 AI 工具生成了代碼，未經嚴格審核就交付給甲方，一旦被發現包含違規代碼，就像是將病毒傳染給了客戶，結果是甲乙雙方的信任關系崩塌。“開源合規不應該是產品發布前 QA 測試團隊的工作，而應貫穿整個研發生命周期，尤其要‘左移’到開發初期階段。像許可證掃描、組件來源識別、變更追蹤等工具，必須集成進 AI 開發的工具鏈中，實現自動預警，盡早發現隱患，防止‘隱形爆炸’。” 馬越對此提出具體解決方法。

第三，信任風險與商業風險。在中國市場，甲乙方合作關系本就敏感，一旦交付出現問題，乙方的信譽會受到嚴重質疑。客戶原本是 “請你來解決問題的”，結果反而引入了更大的合規風險，這在商業上是難以接受的。

對此，馬越強烈建議：要建立代碼訓練數據的透明機制，定期發布清晰報告，與客戶保持公開溝通，從源頭上建立信任。“Gitee 也在積極推動這一點，我們已經積累了 17 年的開源經驗，目前平臺聚集了超過 1000 萬名開發者。通過 AI 技術，我們希望進一步提升代碼可見性和透明度，因為每一行代碼的合規性，決定了整個項目的可持續性。”

Ibrahim Haddad 博士還表示，從商業角度出發，開源合規已經成為并購盡調中的關鍵環節。如果一家企業計劃融資或被收購，合規能力會直接影響其市場估值和交易效率。“開源合規不僅僅是履行許可義務，它還能幫助你全面了解自身產品中使用了哪些開源組件，厘清自身的技術價值在哪里。比如，如果你在中間件層使用了大量開源組件，那你的真正技術價值可能在應用層或底層架構中。” 總而言之，開源合規不僅是風險控制，更是價值管理，能幫助企業明確邊界、建立信任、提升效率，同時更好地融入開源生態。

馬越也對此表示贊同：“今天，尤其在美國，AI 代碼生成領域的并購已成為熱點。從 Google 到 IBM 收購 Red Hat，大家越來越認識到：代碼已成為企業最核心的數字資產，而資產的‘成色’也取決于它的合規性。合規不再是‘額外成本’，而是核心能力，是保障商業持續發展的底層邏輯。”

君同未來 CEO 韓蒙認為，建立一套真正避免代價、可持續的合規文化，需要長期、持續且深思熟慮的投入。

對于 “如何建立合規文化”，韓蒙提出了四點要求。一是提升代碼合規的教育與意識，這是基礎也是起點。要讓團隊真正理解開源許可證的要求、安全風險的種類與后果，就必須開展系統性的培訓，提升全員的合規意識。二是明確流程與機制。必須建立清晰的合規政策、審批制度以及審查和審計流程。正如馬越先生所提到的，規范化的機制可以大幅降低風險，提高處理效率。第三，推動自動化工具的使用。合規工具必須 “左移” 到開發流程前期。例如，自動化的許可證掃描、漏洞檢測與組件追蹤工具，可以極大減輕工程師負擔，并在早期發現問題。四是領導力的支持至關重要。如果企業的領導者能明確將合規作為公司的工程目標之一，而不僅僅是法務層面的任務，這種價值導向將極大推動組織文化的轉變。

降低風險的核心，在于構建可信的溯源平臺以及供應鏈平臺

“人工智能生成代碼管理的核心在于構建可信溯源體系。” 馬越認為，隨著企業代碼庫中人工智能生成內容占比的快速提升，需重點突破三大治理難題：代碼權屬界定、許可證合規性管理及開發責任鏈追溯，這要求將溯源能力系統化植入創新價值鏈。

技術實施層面，他建議采取 "基因級" 溯源架構，重點完善元數據管理三要素：第一，強制人工智能工具輸出攜帶數字指紋，完整記錄訓練數據溯源信息（包括 GitHub 倉庫 URL、Commit ID 等數字憑證）；第二，標注模型版本號與數據過濾策略（如商業代碼排除規則）；第三，生成不可篡改的時間戳并記錄完整操作鏈，實現開發行為可審計、權責可追溯。

馬越補充道：" 該方案已通過實踐驗證，某頭部金融機構接入我們的智能流水線后，結合動態代碼掃描與許可證知識圖譜技術，成功將 GPL 協議沖突率降低 82%。這證明在 CI/CD 流程中集成實時合規引擎具有顯著價值。"

隨著第三方依賴增加，供應鏈安全管理變得關鍵。“AI 生成代碼的合規問題并非中國特有，而是一個全球性議題。”Ibrahim Haddad 博士表示，無論是在中國、美國還是歐盟，全球開源生態系統的參與者都對這一問題高度關注。

建立可信的開源軟件供應鏈平臺，不僅有助于管理日益復雜的第三方軟件開發生命周期，還能夠為開源代碼的使用提供一個安全的環境，防止惡意代碼注入，增強對依賴關系的識別和控制。同時，可信平臺通過標準化流程幫助企業識別許可風險，降低侵權風險。

Ibrahim Haddad 博士建議人們關注 OpenChain 與 SPDX—— 它們是 Linux 基金會牽頭推動的國際標準，可以幫助企業全面、系統地識別、記錄并追蹤第三方組件，從而構建起可信、透明的全球軟件供應鏈。

韓蒙建議，利用可信的制品庫來有效管理第三方依賴，以減少惡意代碼注入、供應鏈攻擊和依賴混淆等風險。通過集中存儲和管理依賴關系，提供安全性掃描、檢測漏洞及許可問題的服務，使用簽名確保制品的完整性和不可篡改性，并通過代理和緩存機制來避免供應鏈風險。

此外，對于人工智能生成的代碼，韓蒙認為應集成代碼追溯能力到整個價值鏈中，建立細顆粒度的工具鏈以支持合規性和應對開發挑戰，這一點也非常重要。可信平臺不僅在傳統方法中發揮作用，在處理人工智能生成代碼這一新興且不斷變化的環境里同樣重要。

Ibrahim Haddad 最后表示，盡管人工智能生成代碼面臨諸多風險和挑戰，但正通過提升開發效率、加速創新迭代、縮小團隊能力差距及優化工作體驗等方面重塑軟件開發模式，釋放技術生產力。

↓分享、在看與點贊~Orz