← 返回信息流
AI 资讯Hacker News·1 天前

发布可审计商业许可证 v1.0

原标题:Auditable Commercial License v1.0

速览

该许可协议旨在规范商业软件的使用与审计流程。它为企业提供了明确的使用边界和合规要求。此举有助于平衡软件开发商的商业利益与用户的审计需求。

AI 深度解读

Auditable Commercial License v1.0:为 AI 时代量身定制的商业许可证

背景

在开源软件领域,传统的商业源码可见许可证(Commercial Source-Available Licenses)如 2017 年的 BUSL 和 2021 年的 Elastic License 2.0,主要诞生于一个尚未出现自主代码助手(Autonomous Code Assistants)和大规模 AI 模型训练的时代。这些旧版许可证旨在防止竞争对手直接通过源码复制产品进行商业竞争,但它们并未预见到如今最严峻的威胁:开发者日常使用源码、利用工具进行开发的过程,可能悄无声息地转化为将数据“泄露”(Exfiltration)进第三方 AI 模型的行为。

随着 AI 代理(Agents)时代的到来,代码本身成为了训练数据。原有的许可证条款无法有效应对这种新型的数据资产流失风险。在此背景下,Auditable Commercial License v1.0 (ACL) 应运而生。这是一个专为 AI 时代设计的源码可见商业许可证,旨在平衡企业内部使用、合规审计需求与防止 AI 训练数据滥用之间的关系。

核心内容

ACL v1.0 是一个源码可见(Source-Available)的商业许可证,其核心逻辑建立在三个关键差异之上,并包含特定的法律条款以应对 AI 时代的挑战。

1. 可审计性(Auditable):权利而非恩赐

ACL 强调源码可见是许可证持有者的固有权利,而非许可方的恩赐。

  • 明确的权利赋予:许可证持有者有权出于安全、合规和运营目的,阅读、审查和审计源代码。
  • 企业需求导向:这一条款明确写入了企业买家和受监管行业实际需要的权利,而不是像传统许可证那样仅通过隐含意义来允许此类行为。这消除了企业在进行内部安全审查时的法律不确定性。

2. AI 保护(AI-Protected):填补空白

这是 ACL 区别于以往许可证的核心创新,专门针对 AI 训练数据滥用问题。

  • 禁止作为训练数据:第 2.3 节明确禁止将受许可作品(Licensed Work)用作 AI 训练数据。
  • 知识限定与安全港:该禁令带有“知识限定”(Knowledge Qualifier),即只有当使用者知道或应当知道该源码将被用于训练时才算违规。同时,它为普通的 AI 工具使用(如代码补全、IDE 助手等日常开发辅助)提供了“安全港”(Safe Harbor),确保开发者日常使用 AI 工具不会触发违约。
  • 传导义务(Flow-through Obligation):许可证要求将这一限制传导至 AI 供应商关系,防止下游 AI 厂商通过间接渠道获取源码进行训练,而无需依赖监控手段。
  • 时代意义:这是首个为 AI 代理时代起草的商业条款,解决了传统许可证从未触及的威胁。

3. 自我过期(Self-Expiring):四年后转为 Apache 2.0

ACL 设计了一种自动转换机制,避免许可方对特定版本拥有永久的控制权。

  • 自动转换:每个发布的版本在公开发布四周年之际,自动转换为 Apache License, Version 2.0
  • 消除依赖:这意味着采用者永远不会因为某个特定版本而永久依赖许可方的善意。四年后,该版本将成为真正的开源软件,任何人都可以自由使用、修改和分发。

许可证结构与自定义

ACL 提供了一套可定制的框架,允许许可方生成特定的许可证文本:

  • 身份(Identity):定义拥有和分发受许可作品的个人或实体。
  • 管辖权(Jurisdiction):根据第 8.1 节,指定具有专属管辖权的法院所在城市和州/国家。
  • 通知(Notices):第 8.7 节规定的通知可选,通常发布在网站或 README 中,默认不嵌入许可证正文。
  • 发布元数据:变更日期(Change Date)会自动设置为当前日期四年后,以触发 Apache 2.0 的转换。

生成的许可证最终呈现为 LICENSE.md 文件,可直接放置在代码仓库根目录。

关键要点

  • 应对 AI 训练威胁:ACL 是首个专门针对“源码被用作 AI 训练数据”这一风险设计的商业许可证,通过第 2.3 节明确禁止此类用途。
  • 区分日常使用与恶意训练:通过“知识限定”和“安全港”条款,ACL 保护了开发者使用 AI 辅助工具(如 Copilot 类工具)的合法性,仅打击蓄意将源码用于模型训练的行为。
  • 强制传导义务:许可证要求许可方将禁止 AI 训练的义务传导给 AI 供应商,构建了从源码提供方到 AI 厂商的法律约束链条。
  • 明确的审计权:将“阅读、审查和审计源码”的权利从隐含转为明示,满足企业级合规和安全需求。
  • 最终开源化:所有版本在发布四年后自动转为 Apache 2.0 许可证,确保软件生态的长期自由性,避免厂商锁定。
  • 非专有条款:ACL 的 AI 保护条款并非专有技术,鼓励其他许可证采用、适应和改进这一类别,旨在推动其成为 2026-2027 年商业许可证的标准配置。

意义与影响

ACL v1.0 的出现标志着软件许可模式在 AI 时代的一次重要演进。它承认了一个事实:在代码即数据(Code is Data)的新环境下,传统的开源或商业许可框架已不足以保护开发者的权益。

首先,它解决了法律滞后性问题。过去的许可证如 BUSL 和 Elastic License 主要关注防止直接的商业竞争和源码倒卖,而 ACL 则将保护范围扩展到了数据层面,防止源码被“静默”地转化为 AI 模型的智力成果。

其次,它提供了可执行的合规框架。通过明确审计权和具体的禁止条款,ACL 为企业和开源项目提供了一套清晰的法律工具,使其能够在享受源码可见带来的信任优势的同时,有效抵御 AI 训练带来的资产流失风险。

最后,自我过期机制体现了对开源精神的尊重与平衡。它既保证了许可方在短期内通过源码可见模式获取商业利益或控制力的权利,又通过四年后的自动开源化,确保了软件最终能够融入公共领域,促进技术的长期自由流动。

ACL 的核心理念在于,任何在 2026 年及以后起草的商业许可证最终都需要包含类似的 AI 保护条款。谁能在设计之初就考虑到执行层面的问题(Enforcement Problem),谁就很可能定义出这一领域的行业标准。

相关推荐

查看原文 →auditablelicense.org