移逐渐下降，可能受到内部资 源调整或技术方向变化的影响。 19 / 111 本章汇集了来自不同领域专家和开发者对开源大模型和人工 智能技术的深刻见解，不仅涵盖了技术层面的深入探讨，也 触及了社会、伦理和政策层面的广泛议题。 从对中国开源模型崛起的分析，到对开源模型持久性的思考， 再到对超级应用探寻之路的探索，每篇文章都为我们提供了 独特的视角，帮助我们理解开源大模型在 AI 技术领域的作用 发显著。开源数据集和算法不仅推动了 AI 研究的进步，也在应用层面带来了深远的影响。然而，伴随这些机遇的还有诸多风险与挑战，如 数据质量、版权问题和算法透明性等。本文将浅析大模型训练过程中开源数据集和算法的重要性 和影响，分析其在促进 AI 研究和应用中的机遇，并警示相关的风险与挑战。 任何方案都具有两面性和在特殊环境下的讨论的意义和前提，因此，本文不讨论开源或对立 面（闭源）的绝对取舍问题，仅对开源的有利之处加以浅析。 加深入的教育和培训，以此不断提升整个行业人才的技术水平。 由于目前主流的模型训练算法都需要依靠对训练数据（样本）的统计（概率），因此，开放 的数据和算法能够在更大程度上确保样本的质量，从而避免更多未知的风险。例如就在 2024 年 12 月 1 日，用户发现 ChatGPT 在需要输出“David Mayer”这个名字的时候会突然提示拒绝： 此事件一度被解读为 GPT 模型在训练过程中被植入了特定的样本或算法，以避免讨论特定

文字描述，就可以生成高质量的数字艺术作品。它们的图像 生成质量、样式多样性和用户便捷性都是极大的突破。这为 广大的个人用户和创意行业提供了强有力的工具，彻底改变 了数字艺术内容的创作方式。同时，它们也引发了人工智能 在创作领域的伦理和法律讨论。LLM 杀进多媒体领域。往 后 DALL-E 3 模型升级、Adobe 产品整合 LLM 能力、 语音模型 whisper-3 更新、AI 虚拟主播创造等，都是在 这条路上的进一步发展。 的巨大需求，跻身市值万亿美元俱乐部；  主要芯片供应商开发了不受出口管制影响的替代产品；  在 ChatGPT 的带领下，生成式 AI 的应用在图像、 视频、编码、语音等领域取得了突破性的进展，带动了 180 亿美元的风险投资和企业投资。 O'Reilly 发 布 的 “ 2023 Generative AI in the Enterprise”报告显示：  54% 的 AI 用户预计 AI 的最大好处是提高生产力。 采用者仍处于早期阶段：26% 的人使用 AI 不到一年，而 18% 的人已经在生产中进行了应用。  16% 从事 AI 工作的受访者表示正在使用开源模型。  意外结果、安全性、公平性、偏见和隐私是采用者测试 的最大风险。 工业和信息化部赛迪研究院数据显示，目前，我国已有超 过 19 个大语言模型研发厂商。其中，15 家厂商的模型 产品已经通过备案，预计今年我国大语言模型市场规模将 达到 132.3 亿元，增长率将达到

在开源还只是一个小众群体的业余爱好时，几乎做任何事情，都是 自由的。但是，在软件吞噬世界、开源吞噬软件的今天，开源技术， 2021 中国开源年度报告 3 已经成为整个世界的基础设施之一。能力越大，责任越大。应用越广， 风险越高。我们应该如何思考与保障开源供应链安全呢？应该如何 建设更加健康的开源生态呢？在这样一种生态中，各方的责任又该 如何界定呢？ 历史感 开源社已经连续第四年发布中国开源年度报告了，也举办了第六届 开源软件商业化可以选择的路径和案例 ………………………………………………………… 84 3.2 开源项目的 life cycle 以及软件供应商在对应阶段的重点工作 ……………………………… 85 3.3 商业化过程中的风险点 …………………………………………………………………………… 87 4 投资——如何找到下一个开源独角兽 …………………………………………………… 93 4.1 成功商业开源项目判断标准 …… Top 10 中也占据了五个席位。 2.8 开源安全与合规 2.8.1 CVE 漏洞风险 Gitee 采用棱镜七彩 FossEye 静态扫描了 1.5 万 个 Gitee 平台上具有代表性的优质推荐开源项目仓库， 结果显示有超过 93% 不存在 CVE 漏洞风险。 其中，在所有存在 CVE 漏洞风险的项目中，存在一个 CVE 漏洞的占比为 18.51%，存在超过 10 个 CVE 漏洞的占比

www.iresearch.com.cn 来源：中国信通院，新思科技《2020年开源安全与风险分析报告》 ，艾瑞咨询研究院根据公开资料研究及绘制。 企业开源的战略意义（二） 开源在企业中的使用率提升，带来多维度战略价值 除前文所述的商业价值和成本优化之外，开源软件产业对企业的战略意义还 次开发后进行商用，这对于引入开源软件进行自身产品研发的企业而 言至关重要，后期将蕴含较大的开源风险；二是该软件是否具备良好运行的开源社区以支持其后续发展，如果不是，则用 户可能无法持续获取开源本身的和细心创造价值。此外，有开源软件代码公开的特性，一些安全漏洞易被发现和利用，可 能带来额外的IT和数据风险，其他值得关注的因素包括技术先进性、运维能力等。 企业使用开源软件的选型要素 开源软件依赖于开源社区 开源软件依赖于开源社区 进行更新，由此需要关注 开源社区的参与度、代码 贡献度、文档数等指标判 断其活跃度 社区活跃度 开源软件带来的自由在反 面也造成了偏离的风险， 企业在选择时需要尽量选 择主流、成熟的开源软件 软件成熟度 作为终端用户，需要考虑 开源技术是否符合自身应 用场景需要；作为软件厂 商，需要考虑开源技术能 否满足客户需求 需求满足度 考虑软件的商业化能力， 需要关注开源软件所选用 的许可证协议，避免出现

responsibility 在开源还只是一个小众群体的业余爱好时，几乎做任何事情，都是自由的。但是，在软件吞噬 世界、开源吞噬软件的今天，开源技术，已经成为整个世界的基础设施之一。能力越大，责任 越大。应用越广，风险越高。我们应该如何思考与保障开源供应链安全呢？应该如何建设更加 健康的开源生态呢？在这样一种生态中，各方的责任又该如何界定呢？ When the open source was just a niche Source Security and Compliance 2.8.1 CVE 漏洞风险 CVE Vulnerability Risks Gitee 采用棱镜七彩 FossEye 静态扫描了 1.5 万 个 Gitee 平台上具有代表性的优质推荐开 源项目仓库，结果显示有超过 93% 不存在 CVE 漏洞风险。 Gitee used Prism Seven FossEye to statically and the results showed that over 93% were not at risk for CVE vulnerabilities. 其中，在所有存在 CVE 漏洞风险的项目中，存在一个 CVE 漏洞的占比为 18.51%，存在超 过 10 个 CVE 漏洞的占比 2.58%。 Of the projects with CVE vulnerabilities

标体系和优化工具，打造360° 无死角数据资产治理体系。 指标建设流程规范化，消除指 标口径二义性，帮助企业进行 指标规范化管理，提高数据输 出效率。 数据安全保障 内置细粒度权限管控和一体 化权限申请，帮助企业提升数 据风险防御能力，保障数据安 全。 生产测试集群隔离 基于数据沙箱实现测试、开 发、生产环境多集群物理或逻 辑隔离、代码与数据解耦，打 造标准化上线发布管控流程。 PRODUCT 一站式数据开发及管 实现任务数据零延迟、大幅减少研发 BUG 数量，并完成数据指标口径 的统一。 降低数据服务成本 可大幅度节约业务成本，提升整体研发业务价值。 保障业务数据安全 通过全链路权限管控、自定义审批流、自动风险识别、智能数据脱敏等 数据管理手段保障业务数据安全。 方案架构 统一数据标准 统一数据服务 统一数据资产管理 统一开发平台 业务前台 数据中心 统一查询服务 大数据基础设施（计算和储存平台） 日志管理 分布式储存 虚拟机 公有云 私有云 混合云 容器云 金融服务 治理框架 业务后台 业务后台 分布式缓存 分布式数据库 对公业务群 客户 中心 产品 中心 营销 中心 支付 中心 风险 中心 运营 中心 ... 零售业务群 互联网业务群 查询引擎 消息队列 云原生 PaaS 中间件 业务前台 API网关 CI/ CD 分布式储存 ESB 体系 规范 方法 技术

料，由艾瑞咨询研究院自主研究及绘制。 使用开源许可证需注意的风险点 审判机关 开发者 开源许可证 “两者的契约” 开源者 将许可证视为“合同”，基于《著作权法》、 《专利法》等法律法规对相关纠纷进行判决 围绕许可证可能出现的其他风险 专利风险 数据风险 出口风险 其他风险 开发者商用开源代码时容易出现的违规风险：不同开源许可证对 于二次发行有不同程度的开源要求，要求越严格，开发者越难保护商 ，开发者越难保护商 业版本发行的机密性，不知情企业闭源发行时越容易有侵权风险 类别一 允许二次闭源发行， 需要保留原始版权 和许可声明 常见许可证： • MIT • Apache2.0 • BDS2.0-clause • 木兰宽松许可证 类别二 一定条件下允许二 次闭源发行 常见许可证： • LGLP2.1，商业 软件通过代码类 库引用（软件代 码与引用的源代 码 呈 “ 松 耦 合

少有机会严格控制根据开源许可协议所修改和分发的软件的质量。鉴于OSI批准的许可证中有部 分许可证并未对明确排除任何商标使用（如只禁止背书、广告或其他特定行为），因此可以考虑 采取一些措施来规避这类风险，例如在开源许可证中添加条款，以标明商标并声明未授予任何许 可；如果不适合在开源许可证中添加条款，可另行添加商标声明，例如OpenJDK商标声明；也可 在社区网站上发布商标使用指南，规范商标授权使用的场景和方式等等 方案感兴趣的公民会面、组织活动，致力于提升捷克的数字参与度。 • 捷克科学与社会中心（CCSS）7是一家独立的非营利性组织，与捷克国内外的机构和个人相合作。 CCSS的重点工作是实施新型通信和信息技术，这些技术可协助进行环境保护工作、风险管理、农业 和乡村可持续发展。CCSS提高了人们对欧盟倡议资助的开源软件解决方案的认识，并强调了开放数 据和开源软件的重要性。 • Otevrena mesta（开放城市）8是由20个市镇和地区组成的协会，通过在开源解决方案上达成合作，