开放科学(资源服务)标识码(OSID):
Employing normative analysis, comparative analysis, and related research methods, this study first examines the existing governance arrangements for open-source large models and identifies their structural limitations. It then introduces the concept of embedded governance into the domain of open-source AI governance and, drawing on the distinctive risk characteristics and governance needs of open-source large models, constructs a dedicated theoretical framework. Building on this framework, the study proposes a governance system specifically designed for open-source large models.The findings indicate that current governance practices continue to rely predominantly on traditional “command-and-control” external regulatory models, which are ill-suited to addressing the dynamic and evolving risks associated with large AI models and are unable to balance risk mitigation with innovation incentives. In essence, the open-source model depends on global collaborative participation and derives its vitality from mechanisms of collective knowledge production and iterative technological advancement. Consequently, the governance of open-source large models should be aligned with the operational logic of open-source ecosystems. Rather than imposing predominantly external controls, governance mechanisms should be deeply embedded within the ecosystem itself, thereby fostering an endogenous and collaborative governance paradigm. To this end, the proposed shift from external regulation to embedded governance involves developing a theoretical framework across three dimensions-organizational embedding, institutional embedding, and technical embedding, which are grounded in existing embedded governance theory and adapted to the risk profile of open-source large models. This framework enables governance mechanisms to be integrated into the internal dynamics of the open-source ecosystem, activating its inherent capacity for self-regulation. Guided by this theoretical model, the study further proposes a progressive governance structure characterized by the interaction between "open-source ecosystem self-governance" and "government oversight". Through this structure, governmental authority is incorporated into open-source self-governance networks to facilitate co-governance, while institutional norms and technical tools appropriate for the open-source context are simultaneously embedded. The resulting governance system is capable of responding adaptively to emerging risks while promoting open-source innovation.
By developing an embedded governance system tailored to the risk characteristics of open-source large models, this study extends the application of embedded governance theory and provides an effective response to the governance challenges arising from the shift from closed-source to open-source AI. The proposed governance system incentivizes active self-regulation by industry associations, foundations, and open-source communities, harmonizes the relationship between ecosystem autonomy and governmental regulation, and achieves a more effective balance between risk management and innovation incentives. This research offers a theoretical foundation for the safe governance of open-source artificial intelligence in China and holds substantial significance for advancing the orderly development of the open-source ecosystem.
开放科学(资源服务)标识码(OSID):
2025年1月,深度求索公司正式发布DeepSeek-R1开源推理模型,该模型以不到ChatGPT-o1十分之一的训练成本,在数学、编程和逻辑推理等任务中展现出与后者相当的性能[1],彻底打破了以ChatGPT为代表的闭源大模型长期处于技术领先地位的局面。近年来,除深度求索外,Meta、xAI等厂商相继推出LLaMA、Grok等开源大模型,开源大模型的类型和用户数量呈现爆发式增长态势。全球主要科技厂商竞相开源核心模型,标志着人工智能正经历从闭源向开源的技术跃迁。开源(Open Source)作为一种开放协作的技术模式,其核心在于将源代码公开,允许全球开发者和研究者自由使用、修改和分发[2]。大模型通过开源展现出高度的开放性、透明度、可定制性等诸多技术优势,显著降低了大模型开发和部署门槛,有效克服了闭源大模型存在的算法黑箱、使用成本较高等不足,开源模式逐渐成为人工智能领域技术发展的主流方向。
然而,技术跃迁在释放巨大应用潜力的同时,也深刻重构着风险格局,使得开源大模型应用风险在外观样态、扩散路径和可控性上发生显著演化。具体而言,开源模型供应链及训练数据更易受到低门槛攻击,知识产权侵权风险凸显和复杂化,同时模型偏离预期用途风险被大规模放大,此类演化风险对模型开源生态的安全性和稳定性构成挑战。现有研究主要聚焦于闭源大模型应用风险及其治理(陈锐等,2024),针对开源大模型治理的研究相对较少,相关研究主要集中在以下3个方面:第一,从宏观视角出发,针对开源大模型[3]或开源生态[4]存在的风险,从法律视角提出相应治理对策。第二,聚焦知识产权治理问题,探究开源大模型使用端的知识产权风险并提出合规对策(韩硕等,2025),以及探讨开源社区知识产权治理模式并提出未来优化方向(喻玲等,2024)。第三,论证知识蒸馏的合法性并分析其正向价值,提出相应治理规则以促进该技术规范发展[5]。然而,现有研究整体较为碎片化,缺乏从模型闭源向开源跃迁视角对其面临的新型风险进行系统化分析并构建专门的治理范式。鉴于此,本文立足大模型技术由闭源向开源技术跃迁的背景,系统梳理其风险演化态势并分析现有治理范式局限,进一步探索契合开源生态特性的治理路径,以期为开源大模型安全治理提供理论参考。
近年来,闭源大模型广泛应用于各个行业领域,此类模型的源代码、模型权重、训练数据及训练流程等核心资源不对外公开,用户主要通过厂商提供的API接口获取服务。尽管闭源模式在一定程度上有助于知识产权保护,但模型技术封闭性在实际应用中存在一些不足。首先,技术垄断会加剧用户对模型的依赖风险。闭源大模型因其技术封闭性,用户获取服务只能依赖API接口,不仅需承担高昂的使用成本,还面临“技术锁定”垄断风险。其次,算法黑箱会削弱模型决策可信度。闭源大模型在决策过程中缺乏透明度,其内部决策逻辑难以追溯,输出结果可能存在隐含偏见和错误信息等问题,这会直接削弱该模型所得结论的可信度和可复现性[6]。再次,定制化程度较低会限制模型应用效果。闭源大模型的技术封闭性及其通用化设计使其难以针对特定场景定制专门模型,进而会引发模型与具体任务适配性不足的问题,制约模型在复杂多变场景中的应用效果。最后,数据出域和算法黑箱共同催生出数据安全风险。用户在使用闭源大模型时需将数据上传至外部服务器,加之数据处理过程缺乏透明度和可解释性,由此将会产生隐私数据被泄露和不当处理等风险。
相比之下,开源大模型则以开放共享为核心理念,通过开源许可证向公众开放源代码、模型权重、训练数据等核心资源,允许用户获取、复现与二次开发。开源模式的兴起标志着大模型从封闭走向开放协作,推动人工智能技术在多个维度实现跃迁(见表1)。开源大模型技术特征主要体现在以下4个方面:第一,技术开放性。开源大模型通常在GitHub、Hugging Face等公共平台按程度开放源代码等资源,并配套提供标准化格式和可复现的运行环境说明,使研究者能够进行深度复用和拓展[7]。第二,模型高透明度。开源大模型基于开放模型架构、训练流程及版本更新等信息,使得外部研究者能够全面审查、追踪和复现模型决策过程和内部机制[8]。第三,模型具备高度可定制性。用户可根据具体应用场景,通过微调、模块化改造等技术手段对模型进行定制。同时,借助量化、知识蒸馏等技术,将模型压缩至适合边缘计算设备或移动终端规格,进而实现轻量化部署。第四,分布式协作驱动迭代机制。开源大模型迭代更新、漏洞修复等工作依赖去中心化分布式协作模式,即全球开发者依托开源平台,通过代码贡献、漏洞修复、经验共享等协助模式共同推动模型更新和完善。
表1 闭源与开源大模型技术特征对比
Table 1 Comparison of technical characteristics between closed-source and open-source large models
维度闭源大模型开源大模型开放性 代码、权重、架构、训练数据不公开,通过API提供服务代码、权重、架构、训练数据等按程度公开,允许自由访问和修改透明度 决策过程和内部机制无法独立审查,呈现“黑箱”特征可通过工具审查、追踪和复现模型决策过程及内部机制可定制性无法修改底层架构或训练数据,仅能通过API参数调整功能支持微调、模块化改造和本地化部署,可适配垂直场景的特定需求技术迭代由企业内部开发,功能更新需等待官方版本发布,迭代周期较长依托全球开源社区协作,持续优化模型性能和功能
人工智能大模型通过开源实现技术跃迁,并借助独特的技术特征展现出重要应用价值。第一,以开放性推动本地化部署,降低使用成本并强化数据安全保护。开源特性赋予政府、企业及研究机构等主体根据自身需求,利用开源特性实现模型本地化部署,这不仅有助于摆脱对闭源API服务的依赖,降低使用成本并促进模型开发和应用,还能确保模型在离线或网络不稳定环境下仍可正常运行,从而满足军工、工业控制等特殊环境需求。此外,在金融、医疗、政府等对隐私保护要求严格的领域,本地化部署可实现“数据不出域”,从根源上规避敏感信息经由网络泄露至第三方服务器的风险。第二,以高透明度提升模型可信性,为外部合规审计监管提供关键支撑。开源大模型高透明度特性不仅有助于发现和及时纠正潜在的偏见和安全隐患,也为外部审计和伦理评估提供了可验证的依据。例如,欧盟《人工智能法案》以及中国《生成式人工智能服务管理暂行办法》对模型透明度作出强制性要求,而开源大模型的透明属性有利于此类监管。第三,以可定制性助力打造专业化模型,精准适配垂直场景的特定需求。不同场景对模型能力存在差异化要求,用户可通过对开源大模型进行二次开发,灵活定制契合具体业务需求的个性化模型,进而提升处理特定任务的针对性和有效性。例如,自DeepSeek发布以来,其已被广泛应用于科学研究、政务服务、法律咨询等多种场景。第四,通过社区协作汇聚知识,加速人工智能产业和技术迭代升级。企业、科研机构等开发者借助开源社区,整合跨领域社区成员广泛参与,持续促进前沿科技产业发展。
大模型从闭源到开源的技术跃迁,以其开放性、透明度及可定制性等特征重塑风险格局,使得开源大模型应用风险在3个层面显著演化,表现出区别于闭源大模型的特殊性(见表2)。
表2 闭源与开源大模型应用风险对比
Table 2 Comparison of application risks between closed-source and open-source large models
风险类型闭源大模型开源大模型模型安全风险“黑箱”特性形成安全屏障,模型本体攻击门槛较高供应链和训练数据由厂商内部管控,相对安全可控模型本体攻击难度降低供应链和训练数据托管于公共平台,易受到污染或投毒知识产权侵权风险侵权风险主要集中在厂商厂商内部有合规审查和管理机制,风险相对可控风险在开源生态各类参与者之间广泛分布违反开源许可证、许可证不兼容的风险频发,知识蒸馏引发侵权争议偏离预期用途风险通过访问控制、内容过滤等机制约束模型用途,偏离用途的风险受控易被改造成违法模型易被用于逆向重构个人信息计算资源滥用缺乏监管无序部署导致资源浪费并增加监管压力
技术跃迁虽促使大模型从封闭转向开放,但也直接降低了开源大模型攻击门槛并拓宽了攻击渠道,导致模型本体、供应链及开源训练数据等面临安全威胁,且安全风险在开放网络中呈快速扩散特征。第一,模型本体面临的攻击风险门槛变低。闭源大模型黑箱特性构成一定的安全屏障,而开源大模型源代码、权重等参数公开大幅降低了针对模型定向攻击的开发难度。实践中,攻击者常在开源平台上传植入后门的模型参数文件,一旦该文件绕过安全检查被用户部署,便可实施隐蔽的后门攻击。同时,开源大模型常以WebAPI形式部署于公网,且普遍缺乏闭源厂商实施的身份验证、访问控制等安全机制,使得攻击者能够更自由地与模型进行交互,从而易于实施对抗样本攻击、模型抽取攻击。例如,据清华大学网络空间测绘联合研究中心分析,用户在使用Ollama平台部署DeepSeek等模型时,普遍存在因未修改默认配置导致接口暴露的现象,由此引发未授权访问、数据泄露、参数窃取等安全风险。第二,供应链污染风险呈现层级化扩散态势。开源大模型广泛依赖第三方组件库,这些组件库本身还依赖其它组件,进而形成层级复杂的供应链。相较于闭源厂商内部可控的供应链,开源供应链主要托管于GitHub、Hugging Face等公共平台,缺乏统一的安全审查和准入机制,因此各层级组件被植入漏洞或恶意代码的风险显著提升。一旦供应链中某个组件被污染,底层组件污染会通过依赖关系向上扩散,从而波及大量应用[9]。例如,2025年3月,在GitHub爆发的大规模供应链攻击事件中,攻击者向23 000余个代码库注入隐蔽性较强的恶意代码片段,单个受到攻击的依赖包即可导致数千个下游应用程序遭受连锁污染,最终引发敏感数据泄露。第三,开源训练数据投毒风险加剧。闭源大模型训练数据通常由厂商内部管控,而开源大模型训练数据主要源于社区公开托管资源,监管力度薄弱。攻击者可以轻易在开源数据集中注入携带触发器的恶意样本,诱导模型在推理阶段执行预设攻击;抑或是通过混入带有错误标签的样本,导致模型的幻觉率大幅提升,进而削弱模型的鲁棒性和可信性。
在闭源模式下,知识产权侵权风险相对集中且可控,主要由负责模型开发与管理的厂商承担。这是因为,厂商对源代码、模型权重与训练数据等核心资源具有明确的产权归属和访问控制权,同时配套合规审查等措施以防范潜在侵权风险。然而,大模型转向开源的技术跃迁打破了风险相对集中且可控的格局。开源生态中的开发者、使用者、托管平台等多类主体同时介入模型开发和使用,使得知识产权侵权风险在参与者之间广泛分布,侵权风险不仅更容易发生而且还表现出更多复杂性。第一,违反开源许可证要求的侵权风险日益凸显。在开源生态中,开发者通过MIT、Apache、GPL等开源许可证设定使用者的行为边界,以平衡开放性与著作权益保护。开源许可证本质上属于附解除条件的著作权许可合同,若使用者超越授权范围使用开源代码,将同时构成违约和著作权侵权[10]。例如,2023年2月Meta通过许可证发布LLaMA模型,明确禁止商业用途并要求标注来源,但仍有用户将模型权重上传至Github和Hugging Face等平台,违反许可证条款,Meta随即依据《数字千年版权法》要求平台下架相关内容。第二,开源许可证不兼容引发的侵权风险较为常见。开源大模型的开发与使用通常涉及多个开源组件的集成,这些组件可能分别受不同许可证约束。当各组件许可证条款存在冲突时,便会引发许可证不兼容风险。例如,Apache2.0包括专利授权终止条款,而GPLv2.0则要求专利授权不可撤销,二者相互冲突[11]。开源大模型组件较多且条款各异,若未经严格审查极易整合许可证冲突组件,进而导致许可证自动终止并引发侵权责任,并伴随模型交付受阻、合规成本增加等负面影响。第三,知识蒸馏技术会引发复杂的侵权争议。知识蒸馏作为一种模型压缩技术,其核心机理为教师模型向学生模型迁移知识,从而实现轻量化部署[12]。该技术尽管具有降低部署成本、提升推理效率等优势,但也容易引发知识产权侵权争议。例如,OpenAI曾公开指控DeepSeek违规使用其模型进行知识蒸馏并涉嫌侵权。从此事件看,该技术侵权风险主要集中在两个方面:一是逆向解析教师模型知识架构可能涉及对算法的反向工程,由此产生侵犯算法著作权和构成不正当竞争风险。二是若认定人工智能生成物具有可版权性,学生模型提取的蒸馏数据可能与教师模型输出数据构成实质性相似,进而引发著作权侵权。此外,一旦开发阶段的知识蒸馏行为被认定为侵权,后续模型使用者也可能被追究侵权责任。
在闭源模式下,模型服务提供商通过访问控制、内容过滤等机制有效约束模型用途。然而,技术跃迁会削弱开发者对模型最终用途的控制力,海量下游部署者和用户在缺乏有效监管情况下可自由定制、部署和使用模型,从而使偏离预期用途的风险呈现失控和规模化演化态势。第一,模型被定制成专门违法模型的风险增大。闭源大模型通常内置严格的可接受使用政策(AUP)和内容过滤机制,而开源大模型安全模块则容易被下游部署者修改或移除,使其能够定制专门用于生成虚假信息、制作恶意代码、制作病毒等违法活动的模型。例如,已有基于开源大模型构建的工具,能够自动化生成钓鱼邮件等攻击性内容[13]。为有效应对此类风险,亟需构建涵盖技术防御、安全标准与法规约束的综合治理体系,从源头遏制模型技术的滥用。第二,逆向重构个人信息风险显现。闭源大模型厂商会对输入输出内容进行严格过滤,而开源大模型在缺乏访问控制、敏感信息过滤等安全机制情形下,在训练阶段更易记忆训练语料中分散、脱敏或已被原始网站删除的个人信息片段,用户通过精心设计的提示词即可诱导模型提取与整合这些信息碎片,并还原出完整的个人信息,从而造成隐私泄露。第三,计算资源滥用风险的监管缺位。开源大模型缺乏闭源大模型所具备的流量控制、行为监测等措施,行为人可通过自动化工具发送大规模请求,恶意消耗计算资源,导致服务性能骤降甚至中断。例如,有行为人利用Probllama漏洞将能源企业的开源大模型用于虚拟货币“挖矿”,导致企业服务器资源被非法占用并造成高额电费损失。第四,无序扩张部署引发资源浪费与监管压力。DeepSeek等开源大模型正广泛渗透至各个行业领域,引发政府、企业等主体大规模部署的竞赛热潮。然而,实践中脱离实际需求的盲目部署现象频发,不仅导致资源冗余、算力闲置,更缺乏配套专业指导和培训,加剧了因用户操作不规范引发的模型滥用风险,给本已滞后的监管体系带来较大压力[14]。
在人工智能大模型技术跃迁背景下,当前初步形成的开源大模型治理体系主要沿袭传统“命令-控制”式外部监管模式,难以在风险控制和创新激励之间取得平衡。因此,治理逻辑亟需转向深度融入开源生态发展逻辑的嵌入式治理,以适应技术跃迁下风险形态与创新模式变革。
当前,我国开源大模型治理体系已初步形成,通过梳理法律、行政法规、部门规章、地方性法规、国家标准、行业标准、自律指南、政策性文件等多种规范,总结现有治理体系(见表3)。
表3 开源大模型现有治理体系
Table 3 Existing governance framework for open-source large models
文件类型 治理内容治理工具主要依据法律、行政法规、部门规章、地方性法规数据安全与隐私保护、网络与关键信息基础设施安全、生成式人工智能服务与深度合成内容监管、算法推荐管理、模型分类与备案等数据分类分级制度、个人信息跨境传输审查、算法—模型—服务分类与双重备案、内容显著标识与日志保留等《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》《上海市数据条例》等国家标准、行业标准、自律指南数据全生命周期安全管控、训练语料及标注环节的安全管理、模型能力分级与场景适配、模型安全管理、开源许可证管理等训练数据来源审核与记录、训练数据过滤机制、个人信息去标识化、训练数据批次标识、标注核验机制、标注日志审计、生成内容安全评估、区分场景下模型功能和性能评估指标库、模型安全评估方法、开源代码安全评价参数、许可证兼容性检测等《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》《网络安全技术 生成式人工智能数据标注安全规范》《网络安全技术 生成式人工智能服务安全基本要求》《面向行业的大规模预训练模型通用要求》《大模型一体机安全要求与评估方法》《信息技术 开源 开源许可证框架》《网络安全技术 软件产品开源代码安全评价方法》《2024开源大模型应用指南1.0(风险治理篇)》等政策性文件开源软硬件基础平台建设和治理、人工智能安全、可信数据空间建设等战略规划框架、场景试点机制、国际合作机制、政策激励等《新一代人工智能发展规划》《工业和信息化部等七部门关于推动未来产业创新发展的实施意见》《可信数据空间发展行动计划(2024—2028年)》等
通过分析,现有治理体系涵盖数据安全、算法安全、内容安全和伦理审查等多个关键领域。在治理工具层面,以制度性治理为主,侧重于通过对平台服务者设定义务,从而对数据来源、模型安全、输出内容等实施监管;同时,针对开源大模型可定制、易部署等带来的潜在风险,辅以内容标识等技术措施开展针对性防控。在治理主体层面,政府通过外部监管发挥主导作用,而企业、开源社区等其他主体参与治理较少。综合来看,现有治理体系整体上呈现“命令—控制”式治理模式。
从整体来看,当前开源大模型治理体系主要依托通用的人工智能大模型治理体系,尚未形成适应开源生态特性的治理体系,难以在风险控制和创新激励之间取得平衡。其局限性主要体现在以下几个方面:
(1)在治理主体层面,现有治理主要依赖外部政府监管,治理力量相对薄弱,难以应对开源风险的不确定性和跨域扩散性。一方面,当前开源大模型内部自治生态尚未成熟,开源行业协会、开源基金会、开源社区等关键治理组织发展滞后,形成“重监管而轻自治”的失衡格局。开源社区自治作用有限,我国开源社区却呈现出规模小而分散的特征,主要以企业主导为主,用户活跃度有限,大量开发者转而活跃于国外开源平台。加之许多社区缺乏完善的行为规则和治理模式,对知识产权保护力度不足,缺乏项目管理和社区运营人才,进一步限制了开源社区自治效能的发挥。另一方面,当前监管机制存在刚性化和过度化倾向,开源生态以分布式协作推动技术创新为本质特征,直接套用通用人工智能领域的“命令—控制”式监管模式,导致开源项目监管不适配,进而抑制开源创新内生动力。
(2)在制度治理层面,缺乏针对开源特征的差异化制度设计,难以有效激励开源创新。第一,开源著作权保护范围尚未明确,尽管相关判例初步确定了开源许可证的性质及效力,但因效力层次较低,加之在开源许可证授权范围、免责条款等细节问题上存在实践争议,亟需通过司法解释或专门立法确立统一标准。同时,知识蒸馏等新兴技术对传统著作权制度带来挑战,现行制度较为滞后而难以应对。第二,开源大模型评估体系有待完善,直接制约开源大模型安全治理措施的实施,不利于构建科学治理体系。第三,责任豁免机制缺位制约创新生态,我国现行制度未区分开源和闭源情形,而一并要求开发者承担全链条责任,但在开源场景下过度严格的责任配置会抑制技术创新。相比之下,欧盟《人工智能法案》对免费开源模型在非高风险场景下予以责任豁免;美国得克萨斯州《负责任的人工智能治理法案》在特定条件下对开源模型开发者予以豁免,规定豁免仅适用于未作为高风险人工智能系统部署且开发者已采取合理措施确保该模型未经实质性修改的情形。
(3)在技术治理层面,现行开源大模型治理体系在技术手段针对性和主动性上略显不足。第一,可信数据空间治理滞后,当前开源大模型训练数据主要依赖于开源数据集,但在数据合法性、安全性、质量控制等方面仍缺乏有效治理机制。第二,对开源大模型及其供应链缺乏主动防御机制和安全保障机制,由于缺乏政策引导和激励,开发者、开源平台等主体在安全监测和防护等方面的能动性不足,难以实现对风险的前瞻性预防。第三,伦理风险识别和治理薄弱,开源生态具有分布式协同和高度自主性特征,当前缺乏统一价值对齐机制,导致各主体在模型开发和应用中难以形成一致的伦理判断和行为规范。
现有开源大模型治理体系面临的核心困境在于,其所沿袭的传统治理逻辑与开源创新本质理念之间存在根本性矛盾。既有治理模式主要沿袭闭源大模型的“命令—控制”式治理模式,侧重于运用外部监管手段对潜在风险实施强制性约束。该模式虽在应对相对封闭、可控的技术系统时具有一定效果,但开源大模型以开放协作、分布式开发为基本特征,其技术风险形态呈现高度动态化和不确定性,传统治理模式响应速度明显迟滞,难以有效应对风险的动态化和扩散性。事实上,开源模式的本质在于借助全球开发者协同参与,基于共建共治协同机制实现知识共享和技术迭代。因此,开源生态治理的核心逻辑并非“受控”而是“共建”,有效治理的前提不是对其施加外部控制,而是将治理机制深度嵌入开源生态本身,构建一种内生、协同治理模式。若将外部监管套用于开源生态,不仅会削弱开源生态内部自我调节能力,还会抑制其技术活力和创新潜力。
为有效应对这一结构性失衡,开源大模型治理亟需回归开源技术运行规律,从“脱嵌式”外部监管转向“嵌入式治理”,推动治理能力向开源生态网络内部深度延伸,实现风险控制与促进创新的动态平衡。嵌入式治理的理论基础源于Polanyi[15]的“嵌入性”思想,其指出经济活动并非自足运行的独立体系,而是深度嵌入社会结构;Granovetter[16]基于社会关系网络视角,强调经济行为始终嵌入持续的社会关系网络,并从关系嵌入与结构嵌入两个方面揭示社会网络对个人行为的影响机制;Zukin &DiMaggio[17]进一步扩展嵌入性分析维度,构建了结构、认知、文化和政治嵌入多维解释框架。在国家治理维度,Evans[18]提出“嵌入性自主”理论,强调国家能力的有效性源于其与社会的密切连接与制度的自主性,即国家既要嵌入社会结构,又需保持一定自主性。嵌入性理论延伸至社会治理领域,逐步形成“嵌入性治理”范式,该范式摒弃了单向度国家外部控制或完全放任社会自治的治理逻辑,在尊重社会自治的基础上,主张国家适度嵌入具体社会网络结构,通过借助外界力量与内生自治资源融合来化解社区内部矛盾[19]。
实践层面,美国国家标准与技术研究院(NIST)发布的《推进国家安全领域人工智能治理和风险管理的框架》为嵌入式治理提供了典型范例。该框架通过多重嵌入机制,强调跨部门、跨组织协作与信息共享,将风险管理贯穿于AI系统全生命周期,使治理要求从外部合规压力转化为技术流程与组织实践的内在组成部分,显著区别于依赖法律规制与事后惩戒的传统监管模式[20]。第一,在组织嵌入层面,政府不再以外部监管者身份单向施加控制,而是作为协作主体嵌入由政府、企业、科研机构等构成的标准制定与实施网络,通过协商、信息共享机制将国家治理能力嵌入跨组织关系网络,形成既保持政府制度权威又融入企业实践的协作结构。第二,在技术嵌入层面,该框架将风险识别、评估、测试与安全控制等技术性治理措施嵌入模型设计、开发、训练、部署全流程,使技术治理与模型生产过程同步推进、深度耦合。第三,在制度嵌入层面,抽象的风险管理要求被转化为具体操作规范、决策流程与评估标准,并嵌入组织内部运行和日常管理体系,使风险治理从外置的合规要求转化为制度化、常态化组织行为。第四,在认知嵌入层面,该框架强调责任伦理、透明等治理原则,并通过能力建设、度量体系等方式,将安全理念和责任伦理嵌入开发者与管理者认知结构和日常实践,使安全意识内化为稳定的行为准则。
开源生态本质上是一个分布式线上协作网络,政府参与开源生态治理是一种嵌入式治理行为。在既有理论的基础上提炼出3个维度,形成政府与开源生态关系理论框架。①组织嵌入。政府通过政策支持、行动参与、专业指导等方式,推动政府与企业等治理主体形成合作机制,从而提升治理效率并增强治理合法性(孙小梅等,2025)。同时,政府在嵌入过程中需保持一定自主性,从而实现“嵌入式自主”。因此,在开源生态治理中,政府一方面需深度嵌入由基金会、行业协会、开源社区组成的自治网络,参与其内部协作治理;另一方面,当自治失灵时可借助合规机制及时介入监管,以保持监管独立性。②制度嵌入。在宏观法律法规、政策等制度指引下,将这些宏观制度转化为契合具体情境、具备可操作性的行动指南,以满足具体情境治理需求(冷向明等,2025)。良好的制度对治理主体具有显著驱动作用,当制度目标与主体利益趋于一致时,将会持续激发其推动行业发展的动力(谢宗藩等,2021)。同时,制度嵌入强调根据反馈及时调整既有制度,以使其不断优化(董佳华等,2024)。因此,应制定契合开源生态特性、符合开源治理需求的差异化制度,促进开源自治规范与监管制度协同发展。③技术嵌入。强调通过智能化技术治理,精准发现治理需求并提升治理效率(蔡劲松等,2024)。并且,通过技术嵌入为多元主体参与协同治理提供渠道,提高治理参与程度,整体上提升风险识别和应对能力(牟春雪等,2022)。由此,应引导和激励开发者、开源社区等主体开发适用于开源场景、覆盖系统全生命周期的风险监测治理工具,提升治理响应速度和生态适配性。
嵌入式治理强调将风险治理融入开源生态结构和运行逻辑,充分激活开源生态的自治潜能。为此,可构建“开源生态自治—政府监管”的递进式治理框架。在顶层自治层面,依托行业协会、基金会和开源社区形成开源生态自治网络,政府以共同治理者身份嵌入其中,并同步嵌入契合开源创新发展需求的制度规范和技术工具;当自治失灵时,次级行政监管层及时介入和控制风险,并通过合规机制使自治网络不断优化,最终实现治理从外部监管到生态内生驱动的转变,形成以开源生态自治为主导的嵌入式治理体系(见图1)。
图1 开源大模型嵌入式治理体系
Fig.1 Embedded governance framework for open-source large models
开源大模型嵌入式治理体系总体架构是将自治前置、监管后置,主张优先通过自治应对和过滤风险。因此,开源生态自治网络是整个治理体系的核心,以此为嵌入点,政府以共同治理者身份嵌入与协同开源生态内部治理,并辅以后续制度和技术嵌入,共同形成完善的自治网络。同时,政府作为监管者需保持必要的独立性,应适时介入监管,为开源生态自治提供兜底性保障。
(1)培育以“行业协会—基金会—开源社区”为组织架构的开源生态自治网络,以此作为政府、制度和技术的嵌入点。目前,我国已建立Gitee、开源中国等开源社区以及开放原子开源基金会、人工智能开源软件发展联盟等本土开源组织,初步提供了开源生态组织基础。同时,《关于深入实施“人工智能+”行动的意见》明确提出要“促进开源生态繁荣”,“支持人工智能开源社区建设”,为系统化构建开源生态组织架构提供了政策支持。因此,可从3个方面推进开源生态自治网络建设:第一,推动国内开源人工智能行业协会的构建与完善。行业协会应牵头制定行业自律公约,从顶层设计层面引导开源生态形成良好秩序,并作为纽带促进开发者、社区、政府等主体之间开展交流和协作。第二,充分发挥开源基金会资金支持与激励作用。设立专门用于风险评估、漏洞修复及合规审查的专项资金池,为社区自治提供稳定的资金来源与风险缓冲;同时,凭借其中立的非营利属性,基金会能够协调和平衡企业、开发者、政府等主体之间的资源,承担知识产权托管、项目孵化和生态管理等职能,保障开源生态公平和可持续发展。第三,将开源社区平台确立为自治网络的核心载体,各主体以社区为依托,通过积极履行对应义务实现有效自治。具体而言,开源社区应制定并执行社区公约,引导各方有序开发和使用模型,并对开源模型及其工具链开展上架审核、日常监测、违规处置等全流程管理,完善用户反馈渠道,保障生态整体运行的安全性和合规性。另外,开发者应加强与社区成员的交流互动和经验分享,及时发布补丁,不断提高模型安全;部署者和使用者应及时反馈安全隐患,积极贡献治理对策,进而形成责任明确、反馈敏捷的多方协同自治格局。最终,通过行业协会的宏观统筹和制度引领、基金会的资金保障与激励支持、开源社区的执行落实与协同治理,逐步形成“协会统筹—基金支持—社区执行”的开源生态自治网络。
(2)推动政府以“共同治理者”身份深度嵌入开源生态自治网络。不同于传统外部监管,在嵌入式治理模式下政府应积极融入开源生态,与自治主体构建合作关系。第一,以社区成员身份入驻开源社区平台,常态化参与社区自治活动,并建立与开发者、部署者、使用者等主体的长期沟通渠道。第二,与开源生态各方主体共建如“AI模型安全监测平台”等风险联防平台,依托此类平台整合各方资源,构建开源项目库、漏洞库、滥用案例库等基础资源池,通过信息共享实现风险预警与协同。第三,建立制度规范双向转化机制,政府在参与治理过程中应及时总结有效的自治经验,并将其转化为法律法规、政策规范;同时,推动开源社区将有关法律法规细化嵌入社区规则体系,确保政府监管和开源社区自治形成制度协同。第四,在全球治理层面,牵头开展多边合作与跨境社区协作,在模型安全评估、跨境数据治理、开源许可证兼容等领域推动标准互认与制度对接,提升我国在全球开源生态治理中的影响力。
政府在上述嵌入过程中可能面临3类主要阻力:一是社区会担忧行政力量介入将压缩自治空间,削弱技术决策和规则制定的自主性;二是政府遵循合规性、程序性的治理逻辑,这与社区强调的灵活性、以实践为导向的快速迭代治理逻辑存在差异,容易在协作中产生摩擦;三是在共建安全平台、漏洞库等公共资源时,资源控制权和使用权划分可能存在争议。破解上述阻力的关键在于构建明确的政府嵌入“权力清单”。首先,通过原则性条款将政府角色限定为支持者与协调者,而非行政主导者。其次,在具体条款中应严格限定政府权力适用范围,重点关注过程与结果安全、风险处置等公共性事务,而将技术路线选择、社区规则制定、项目规划等核心权力保留给社区,并对共建资源制定平等使用规则。最后,建立简明的争议解决机制,由政府、社区代表、行业协会等共同组成协调小组,对涉及资源分配、治理权界定等影响社区自治性的争议进行裁决。
(3)政府通过行政合规机制实现外部监管对开源生态自治的适度介入,与开源生态自治网络相互配合,形成“开源生态自治—政府监管”的递进治理架构。根据嵌入式治理理论,政府在嵌入的同时需保持一定独立性。对此,政府可通过事前合规预防和事后合规整改开展监管[21]。一方面,在事前阶段,制定合规指南和设立资金奖励、减免税收、预先许可等正向激励措施,从而引导开发者、部署者、使用者、开源社区等主体对模型安全、数据使用等关键领域制定与执行合规计划,以此推动开源生态相关主体积极开展内部合规自治,优先通过合规自治过滤和预防潜在风险,最大程度上保障政府治理的自主性。同时,针对开源项目,行业协会和基金会加强与政府协作,共同推进开源项目的合规性审核,确保项目符合各项法律规定和行业标准。另一方面,在事后阶段,当企业自治机制失灵时,政府监管应及时介入,确保开源生态相关主体活动始终处于合法框架内。同时,应探索构建事后行政合规制度,通过与处罚相对人签订处罚和解协议,要求处罚相对人通过遵守合规承诺、开展合规整改等方式来换取行政机关从轻、减轻或免除处罚,从而倒逼开源生态主体积极开展内部自治[22]。由此,形成自治优先而监管兜底的递进治理架构,推动风险治理从“命令—控制”式的外部监管向促进内部自治的包容审慎监管转型。
制度嵌入是构建嵌入式治理体系的基础性工程,其核心在于通过差异化、契合开源特征的制度设计,将治理规范嵌入开源大模型开发运行各个环节,在控制风险的同时有效促进开源创新。
(1)构建以开源许可证为核心的开源著作权保护制度。开源许可证能够为开源社区中各主体提供明确的行为指引,有效保障开发秩序和促进开源创新,其是开源著作权治理的抓手。第一,前期可通过司法解释明确开源许可证的合同属性,并对其不可撤销原则、衍生作品开源义务继承机制、许可证兼容性判定规则等核心内容作出细化规定,后期结合司法实践经验将相关内容纳入《中华人民共和国著作权法》。第二,通过制定行业指南引导开发者积极采用开源许可证,预先明确技术使用权限,以事前协议的形式划定模型预期使用范围,从而降低蒸馏技术等新兴技术引发的潜在侵权风险。第三,通过立法赋予开源平台著作权集体管理组织的法律地位,授权其可代表开发者提起侵权诉讼,降低个人诉讼成本,提升司法效率,进一步强化开源著作权保护力度[23]。
(2)构建全面的开源大模型安全管理制度。第一,建立标准化评估体系,该体系涵盖安全性、公平性、鲁棒性与透明度等评估指标,使独立第三方专业机构通过漏洞扫描、对抗攻击测试等方法完成合规评估,从而奠定开源大模型安全治理的基础。第二,实施分级监管机制,根据风险评估等级将开源大模型划分为不可接受、高、中、低四级。对于高风险模型而言,需严格实施研发备案、算法审计、许可准入和全生命周期追溯等监管措施;对于中低风险模型而言,通过设置负面清单等方式进行相对宽松的监管,由此实现差异化监管。同时,配套建立国家级监管平台,集成模型登记备案、技术评估报告和安全事件处置等多项功能,形成覆盖事前预防、事中监管和事后处置的全流程监管链条。第三,完善应急响应制度,鉴于开源风险的不确定性和扩散性特征,需制定漏洞阻断、紧急修复等针对性应急预案,确保在面临突发性安全事件时能够迅速响应和处置。
(3)构建契合开源特征的差异化责任机制。依据开发者、部署者、使用者、开源平台等主体责任,限定于其可直接控制的范围之逻辑[24],构建差异化责任框架。一是对开发者设定有限的安全管理义务,明确其需保障模型安全性、对模型潜在缺陷和风险进行提示以及审查和披露训练数据来源。同时,为开发者配套免责机制,若开发者严格履行安全管理义务,则可依托开源许可证中的免责条款,豁免其对下游违规使用行为的连带责任。二是明确部署者的场景化风险责任,以开源许可证授权范围为基准,界定部署者在具体场景中的合同义务边界,同时要求其承担持续监控并修复安全漏洞的一般性义务。此外,根据金融、医疗、政务等具体场景,部署者需确保输出内容符合特定场景下的合规要求。三是追究终端用户的滥用责任,通过立法列举生成虚假信息、制作攻击性武器、实施网络诈骗等违法滥用开源大模型的行为类型,并配置相应罚则,以此界定模型合理使用范围。四是强化开源社区监督治理责任,通过立法为开源社区确立“通知—删除”义务,规定社区在履行上架审核、日常监测等基本义务,发现模型及其供应链存在安全问题时,应及时采取下架等违规处置措施,否则应针对扩大的损害承担连带责任,以此推动开源社区积极发挥治理作用。
技术治理的核心在于开发契合开源生态治理需求的专业化技术工具,将技术工具嵌入模型研发、训练、部署等各个环节,从而实现对风险的针对性治理与前瞻性防控。
(1)在模型研发设计阶段,开展开源训练数据可信治理。开源训练数据安全是大模型正常运行的根基,因而需从数据获取和处理环节入手构建安全治理机制。第一,针对开源数据知识产权侵权风险,行业协会可通过制定指南引导开发者建立统一元数据目录,完整记录数据来源、授权协议和使用范围信息,从而确保纳入模型训练的开源数据具备合法授权,从源头上规避侵权风险。第二,为防范利用开源大模型逆向恢复个人信息风险,应在开源训练数据发布和共享环节,引导开源平台和数据提供方等主体采用合成数据等先进技术提升数据脱敏效果,维持数据可用性[25]。第三,为抵御数据投毒攻击,开源基金会应设立专项奖励基金,激励安全团队采用异常检测算法等方法,自动识别和剔除恶意或异常标注数据。同时,针对高风险领域开源训练数据,需额外引入人工抽检机制,以人机协同方式强化数据安全性。
(2)在模型开发和训练阶段,应从供应链安全、模型完整性和价值对齐等维度实施技术治理。第一,完善供应链安全治理。由政府设立研究基金,激励开发者对各类供应链攻击方式进行系统性分类和梳理,为后续风险治理提供靶向依据[26]。同时,鉴于开源项目组件的复杂性,应鼓励开发者开展软件物料清单的开发和使用。软件物料清单是一种支持机读的清单,能够详细记录模型组件来源、版本、依赖关系等信息,当出现安全事件时,可借助软件物料清单快速定位受影响的组件并持续追踪其安全风险[27]。第二,保护模型完整性。开源行业协会应设立奖励计划,鼓励开发者在模型权重中嵌入专门适用于开源大模型的参数级水印标识,确保模型在发布、微调或部署后,仍能够验证模型来源和完整性,以此防范模型被篡改或滥用[28]。第三,增强模型价值对齐。传统价值对齐方法主要采用人类反馈强化学习,通过人工对模型输出内容偏好进行标注,从而引导模型优化。但该方法成本较高且效率偏低,因此需激励开发者研发更先进的自动化对齐技术。例如,清华大学等机构联合开发了RLAIF-V方法,通过自动化生成高质量偏好数据,在推理阶段引入自反馈机制,有效降低了成本并显著提升了价值对齐效果[29]。
(3)在模型部署应用阶段,加强对开源大模型的持续性监测和快速修复。一方面,为实现对开源大模型使用情况的有效监测,鼓励运维团队构建实时审计日志机制,通过详细记录所有请求的输入输出和响应过程,对外部用户使用行为进行全面监测,将日志信息归档到日志库。由此,当出现滥用模型行为或异常事件时,能够根据日志库中的记录进行事后溯源,准确追究相关主体责任。另一方面,为及时发现开源大模型在实际应用中的安全风险,应推动模型安全团队通过对抗性测试、红队演练等方式,主动挖掘模型存在的安全漏洞。基于监测结果及用户反馈情况,安全团队需动态调整安全策略,及时制定并发布漏洞补丁,从而形成“监测—评估—修复”的闭环技术治理链条,不断提高开源大模型在实际应用中持续安全运行的能力。
当前,我国人工智能产业正在大力推行和发展开源模式,开源已成为提高人工智能产业竞争力的重要路径。面对人工智能开源化进程中的风险演化,治理的关键在于立足开源生态内在规律,推动治理范式深度转型。通过引入嵌入式治理范式,推动行业协会、基金会及开源社区等主体积极开展自治,与政府形成协同共治格局;同时,将制度规范和技术工具嵌入治理过程,从而形成灵活响应风险并促进开源创新的治理体系。未来应进一步完善开源大模型开发和使用规范,健全开源知识产权保护规范,积极开发多元化技术治理机制,逐步形成符合我国国情的开放、透明和可持续的开源生态,为人工智能技术高质量发展提供坚实保障。
[1] POO M-M. Reflections on DeepSeek′s breakthrough[J]. National Science Review, 2025,12(3):nwaf044.
[2] PERENS B. The open source definition[C]//DIBONA C,OCKMAN S,STONE M,et al.Open sources:voices from the open source revolution.Sebastopol,CA:O'Reilly,1999.
[3] 周辉.开源人工智能模型的法律治理[J].上海交通大学学报(哲学社会科学版),2024,32(8):18-33.
[4] 苏宇,郭雨婷.人工智能开源生态的法律治理[J].宁夏社会科学,2024,43(5):119-130.
[5] 刘力.生成式人工智能中知识蒸馏的正当性检视与规则优化——以OpenAI指控DeepSeek为切入点[J].湖南师范大学社会科学学报,2025,54(4):112-124.
[6] BENDER E M, GEBRU T, MCMILLAN-MAJOR A, et al. On the dangers of stochastic parrots: can language models be too big[C].Proceedings of the 2021 ACM Conference on Fairness, Accountability, and Transparency, 2021.
[7] JIANG W, SYNOVIC N, HYATT M, et al. An empirical study of pre-trained model reuse in the hugging face deep learning model registry[C].2023 IEEE/ACM 45th International Conference on Software Engineering (ICSE),2023.
[8] BOMMASANI R,KAPOOR S,KLYMAN K,et al. Considerations for governing open foundation models[J]. Science, 2024, 386(6718): 151-153.
[9] OHM M,PLATE H,SYKOSCH A,et al.Backstabber′s knife collection: a review of open source software supply chain attacks[C].Detection of Intrusions and Malware, and Vulnerability Assessment: 17th International Conference, 2020.
[10] 祝建军.开源软件的著作权保护问题研究[J].知识产权,2023,37(3):30-44.
[11] 吴欣,武健宇,周明辉,等.开源许可证的选择:挑战和影响因素[J].软件学报,2022,33(1):1-25.
[12] GOU J, YU B, MAYBANK S J, et al. Knowledge distillation: a survey[J]. International Journal of Computer Vision, 2021, 129(6): 1789-1819.
[13] FIRDHOUS M F M, ELBREIKI W, ABDULLAHI I, et al. WormGPT: a large language model chatbot for criminals[C].2023 24th International Arab Conference on Information Technology (ACIT),2023.
[14] 王硕,索成.有组织的无序:生成式AI的加速扩散与社会吸纳的适配困境——基于DeepSeek“部署竞赛”的考察[J].电子政务,2025,22(12):72-80.
[15] POLANYI K. The great transformation: the political and economic origins of our time[M]. Boston:Beacon Press, 2001.
[16] GRANOVETTER M. Economic action and social structure: the problem of embeddedness[J]. American Journal of Sociology, 1985, 91(3): 481-510.
[17] ZUKIN S, DIMAGGIO P. Structures of capital: the social organization of the economy[M]. Cambridge: Cambridge University Press, 1990.
[18] EVANS P B.Embedded autonomy: states and industrial transformation[M]. Princeton: Princeton University Press,1995.
[19] 刘建平,杨磊.我国城市基层治理变迁:困境与出路——构建一种“嵌合式治理”机制[J].学习与实践,2014,31(1):94-99.
[20] NIST.Artificial Intelligence Risk Management Framework (AI RMF 1.0)[R]. Gaithersburg: National Institute of Standards and Technology, 2023.
[21] 熊樟林.企业行政合规的概念反思与重构[J].法商研究,2024,41(4):71-87.
[22] 周佑勇.企业行政合规的制度定位及其构建路径[J].比较法研究,2024,38(3):1-18.
[23] 徐美玲.软件著作权侵权“开源抗辩”解析[J].知识产权,2024,38(6):18-33.
[24] 张凌寒,何佳欣.开源人工智能负责任创新的法律保障[J].法治社会,2025,10(3):32-48.
[25] 叶英杰,李川.人工智能模型训练中合成数据的应用风险及其治理路径[J].情报理论与实践,2025,48(6):47-55.
[26] LADISA P, PLATE H, MARTINEZ M, et al. Sok: taxonomy of attacks on open-source software supply chains[C].2023 IEEE Symposium on Security and Privacy, 2023.
[27] NOCERA S, ROMANO S, DI PENTA M, et al. Software bill of materials adoption: a mining study from GitHub[C].2023 IEEE International Conference on Software Maintenance and Evolution, 2023.
[28] UCHIDA Y, NAGAI Y, SAKAZAWA S, et al. Embedding watermarks into deep neural networks[C].Proceedings of the 2017 ACM on International Conference on Multimedia Retrieval,2017.
[29] YU T, ZHANG H, LI Q, et al. Rlaif-v: open-source AI feedback leads to super GPT-4V trustworthiness[C].Proceedings of the Computer Vision and Pattern Recognition Conference,2025.