وقتی یک محقق امنیتی آسیبپذیریای پیدا میکند و مسئولانه آن را گزارش میدهد، انتظار دارد تشکر دریافت کند — نه برگه دادگاه. ماجرای Adafruit Industries و Flux.ai نشان داد که اصول «افشای مسئولانه» که سالهاست در جامعه امنیت سایبری جاری است، وقتی به دادههای آموزشی هوش مصنوعی میرسد، ناگهان به یک میدان مین حقوقی تبدیل میشود.
۱. Flux.ai چیست و ماجرا چگونه آغاز شد
Flux.ai یک استارتاپ است که ابزار طراحی PCB (برد مدار چاپی) مبتنی بر هوش مصنوعی ارائه میدهد. برخلاف ابزارهای سنتی مانند KiCad یا Eagle، Flux.ai از مدلهای AI برای پیشنهاد شماتیک، Layout خودکار، و تولید فایلهای Gerber استفاده میکند. این ابزار توجه جامعه سختافزاری را جلب کرد زیرا طراحی PCB یکی از مهارتهای فنی دشوار است که AI در آن میتوانست ارزش واقعی ایجاد کند.
اما مشکل از آنجا شروع شد که یک محقق مرتبط با Adafruit Industries — شرکت سختافزار متنباز بسیار محبوب با بیش از ۴.۵ میلیون مشترک یوتیوب — متوجه شد که خروجیهای Flux.ai شباهتهای غیرعادی به طراحیهای Eagle متنباز Adafruit دارد. طراحیهایی که Adafruit سالهاست تحت مجوزهای Creative Commons منتشر میکند.
محقق با رعایت کامل پروتکل افشای مسئولانه ابتدا به Flux.ai ایمیل زد، ادعای خود را مستند کرد، و فرصت ۳۰ روزه داد. پاسخ Flux.ai به جای تشکر یا حتی بررسی جدی، یک نامه حقوقی بود با تهدید به پیگرد قانونی.
«ما فایلهای طراحی خود را متنباز کردیم تا جامعه سازنده رشد کند، نه تا شرکتهای AI از آنها بدون اجازه کسب درآمد کنند.» — Limor Fried، بنیانگذار Adafruit
۲. مجوزهای Creative Commons در طراحی سختافزار
قلب این دعوا در مجوزهای Creative Commons است. Adafruit فایلهای Eagle (شماتیک و PCB Layout) خود را معمولاً تحت مجوز CC BY-SA (Attribution-ShareAlike) یا در مواردی CC BY-NC-SA (با محدودیت تجاری) منتشر میکند.
سوال حقوقی اینجاست: آیا استفاده از یک فایل CC-licensed بهعنوان داده آموزشی برای مدل تجاری AI، نقض مجوز محسوب میشود؟ این سوال هنوز در هیچ دادگاهی بهصورت قطعی پاسخ نگرفته است.
در حوزه سختافزار، علاوه بر Creative Commons، مجوز CERN OHL (Open Hardware License) هم وجود دارد که توسط سازمان CERN برای طراحیهای سختافزار متنباز ایجاد شد. CERN OHL نسخه ۲ (۲۰۲۰) صراحتاً در مورد استفاده تجاری از طراحیهای مجوزدار مقرراتی دارد، اما «آموزش AI» بهعنوان یک use case در زمان نوشتن آن وجود نداشت.
۳. سابقه: GitHub Copilot و نویسندگان نرمافزار
این اولین بار نیست که جامعه متنباز با شرکتهای AI بر سر دادههای آموزشی درگیر میشود. GitHub Copilot در ۲۰۲۲ با دعوای حقوقی از سوی گروهی از توسعهدهندگان متنباز روبرو شد که ادعا داشتند Microsoft بدون اجازه از کد آنها برای آموزش مدل استفاده کرده است.
آن دعوا هنوز ادامه داشت که Stability AI، Midjourney، و DeviantArt هم با شکایتهای مشابهی از هنرمندان روبرو شدند. الگوی مشترک همه این موارد یکسان است: شرکت AI ادعا میکند استفاده از دادههای عمومی «fair use» است؛ صاحبان محتوا ادعا میکنند حتی اگر محتوا عموماً در دسترس باشد، مجوزش را برای آموزش مدل تجاری ندادهاند.
تفاوت مهم ماجرای Adafruit این است که موضوع نه فقط نقض کپیرایت، بلکه نقض پروتکل گزارشدهی هم هست. شرکت به جای بررسی ادعا، محقق را تهدید کرد — رفتاری که جامعه امنیتی آن را «قربانی کردن پیامرسان» مینامد.
۴. اثر ارعاب حقوقی بر فرهنگ افشا
خطرناکترین پیامد این ماجرا برای جامعه فنی، اثر سرد ارعاب حقوقی (Chilling Effect) است. وقتی یک محقق میبیند که گزارش مسئولانه یک مشکل منجر به نامه حقوقی میشود، انگیزهای برای گزارش آسیبپذیریهای بعدی نخواهد داشت.
در جامعه امنیت سایبری، این الگو سالهاست که با مفهوم SLAPP (Strategic Lawsuit Against Public Participation — دعاوی حقوقی استراتژیک برای سرکوب مشارکت عمومی) شناخته میشود. شرکتهای قدرتمند گاهی از دعاوی بیپایه برای ترساندن و خاموش کردن منتقدان استفاده میکنند، حتی اگر در نهایت دعوا را ببازند.
EFF (Electronic Frontier Foundation) وارد ماجرا شد و اعلام کرد که تهدید حقوقی Flux.ai به محقق «نمونهای از ارعاب که فرهنگ گزارشدهی مسئولانه را تخریب میکند» است. EFF آمادگی حمایت حقوقی از محقق را اعلام و از شرکت خواست که تهدید را پس بگیرد.
«تهدید حقوقی به کسی که مشکل را گزارش میدهد، اشتباه است. این رفتار را نمیتوان با هیچ استدلال قانونی توجیه کرد.» — EFF، بیانیه رسمی ۲۰۲۵
۵. واکنش جامعه Maker و اهمیت آن
Adafruit تنها یک شرکت سختافزاری نیست — یک نهاد فرهنگی در جامعه Maker است. Limor «Ladyada» Fried، بنیانگذار شرکت، اولین مهندس زنی بود که روی جلد مجله Wired ظاهر شد. Adafruit با ارائه آموزشهای متنباز، ابزارهای رایگان، و طراحیهای CC-licensed عملاً نقش یک دانشگاه عمومی برای سازندگان الکترونیک را بازی کرده است.
وقتی Flux.ai به این شرکت تهدید حقوقی فرستاد، واکنش جامعه سریع و شدید بود. هزاران کاربر در Reddit (r/electronics، r/arduino)، Hacker News، و شبکههای اجتماعی ابراز حمایت کردند. چندین بلاگ فنی از Flux.ai خواستند که توضیح بدهد چه دادههایی در آموزش مدل استفاده شدهاند.
این ماجرا نشان داد که جامعه Maker — برخلاف تصور بعضی شرکتها — حافظه قوی و صدای بلندی دارد. Flux.ai در نهایت مجبور شد بیانیهای صادر کند، اما بدون عذرخواهی واقعی یا شفافیت در مورد دادههای آموزشی.
۶. مقایسه مجوزهای متنباز سختافزار در برابر آموزش AI
یکی از ریشههای ابهام حقوقی در پرونده Adafruit-Flux.ai این است که هیچکدام از مجوزهای رایج برای انتشار طراحی سختافزار، در زمان نگارش خود، سناریوی «استفاده بهعنوان داده آموزشی برای یک مدل هوش مصنوعی تجاری» را پیشبینی نکرده بودند. نتیجه این است که یک محقق یا شرکت باید از روی متن مجوزهایی که برای دنیای دیگری نوشته شدهاند، حکمی برای دنیای AI استخراج کند.
جدول زیر تفاوت رویکرد چند مجوز پرکاربرد در جامعه سختافزار متنباز — از جمله همانهایی که Adafruit برای فایلهای Eagle خود به کار میبرد — را در چند محور کلیدی نشان میدهد.
| مجوز | اجازه استفاده تجاری | الزام انتشار مجدد (Share-Alike) | موضع صریح درباره آموزش AI |
|---|---|---|---|
| CC BY-SA | بله | بله، اثر مشتق باید با همان مجوز منتشر شود | ندارد |
| CC BY-NC-SA | خیر | بله | ندارد، اما کاربرد تجاری اساساً خارج از مجوز است |
| CERN OHL-S (Strongly Reciprocal) | بله | بله، حتی برای طراحیهای مشتقشده | ندارد |
| CERN OHL-P (Permissive) | بله | خیر | ندارد |
| Public Domain / CC0 | بله، بدون محدودیت | خیر | ندارد؛ اما Adafruit فایلهای خود را با این مجوز منتشر نکرده است |
نکته مشترک در همه این ردیفها این است که ستون آخر تقریباً همیشه خالی است. نویسندگان این مجوزها به Share-Alike، انتساب و گاهی منع تجاریسازی فکر کرده بودند، اما نه به مدلی که میلیونها فایل طراحی را میبلعد و از آنها الگو یاد میگیرد بدون آنکه یک نسخه مشتق قابل ردیابی از یک فایل مشخص تولید کند. همین خلأ است که به هر دو طرف دعوا اجازه میدهد ادعای خود را «مطابق مجوز» بخوانند، و دقیقاً همین ابهام است که پرونده Adafruit-Flux.ai را از یک اختلاف ساده به یک آزمون سرنوشتساز برای آینده سختافزار متنباز تبدیل کرده است.
نتیجهگیری: لزوم قوانین شفاف برای دادههای آموزشی AI
ماجرای Adafruit-Flux.ai یک هشدار جدی است. با گسترش سریع ابزارهای AI که از دادههای متنباز آموزش میبینند، جامعه فنی نیاز به یک چارچوب حقوقی واضح دارد که پاسخ دهد: آیا مجوز CC-BY استفاده برای آموزش مدل تجاری AI را شامل میشود؟
در غیاب این چارچوب، دو راه ممکن است: یا جامعه متنباز شروع به استفاده از مجوزهای محدودکنندهتر میکند (که به معنای کاهش دادههای عمومی برای همه است)، یا شرکتهای AI باید داوطلبانه پروتکلهای افشا و اعتراف به منابع داده را اتخاذ کنند. تجربه نشان داده که گزینه دوم بدون فشار قانونی یا اجتماعی اتفاق نمیافتد. این ماجرا آغاز یک نبرد طولانی است که نتیجهاش شکل اینترنت متنباز آینده را تعریف میکند.
پرسشهای پرتکرار
افشای مسئولانه (Responsible Disclosure) چیست؟
افشای مسئولانه یک پروتکل رایج در امنیت سایبری است که در آن محقق ابتدا بهصورت خصوصی مشکل را به سازمان مربوطه اطلاع میدهد و فرصتی معمولاً ۳۰ تا ۹۰ روزه برای اصلاح میدهد، سپس در صورت عدم پاسخ بهصورت عمومی افشا میکند. هدف این فرآیند حفاظت از کاربران و در عین حال دادن زمان کافی به شرکت برای رفع مشکل است.
چرا Flux.ai بهجای بررسی گزارش، محقق را تهدید کرد؟
دلیل دقیق داخلی این تصمیم عمومی نشده، اما واکنش شرکت با نامه حقوقی بهجای بررسی فنی، در جامعه فنی بهعنوان تلاش برای خاموش کردن یک منتقد قبل از افشای عمومی تفسیر شد. EFF این رفتار را نمونهای از ارعاب دانست که به فرهنگ گزارشدهی مسئولانه آسیب میزند.
تفاوت مجوز Creative Commons و CERN OHL در طراحی سختافزار چیست؟
Creative Commons مجموعهای عمومی از مجوزهاست که برای هر نوع اثر خلاقانه از جمله متن، تصویر و فایل طراحی به کار میرود و در نسخههای BY-SA یا BY-NC-SA الزام به انتشار مجدد یا منع تجاریسازی دارد. CERN OHL مجوزی اختصاصی برای سختافزار متنباز است که مستقیماً به مفاهیم فنی مثل فایل طراحی و محصول ساختهشده میپردازد؛ هیچکدام از این دو صراحتاً درباره استفاده از فایلها برای آموزش مدلهای هوش مصنوعی حکمی ندارند.
SLAPP چیست و چه ارتباطی به این پرونده دارد؟
SLAPP مخفف Strategic Lawsuit Against Public Participation است؛ دعاوی حقوقی که هدف اصلیشان نه پیروزی در دادگاه بلکه ترساندن و مستهلک کردن مالی منتقدان است. منتقدان ماجرای Adafruit-Flux.ai نگران بودند که نامه حقوقی ارسالی به محقق، الگویی از همین نوع فشار باشد، هرچند تا این مرحله به شکایت رسمی دادگاه تبدیل نشده است.
آیا استفاده از فایلهای CC-licensed برای آموزش مدلهای AI قانونی است؟
پاسخ قطعی وجود ندارد، چون هیچ دادگاهی هنوز بهصورت نهایی این پرسش را برای مجوزهای Creative Commons یا CERN OHL بررسی نکرده است. بحثهای مشابه در پروندههای GitHub Copilot، Stability AI و Midjourney نشان میدهد که شرکتهای AI معمولاً به «fair use» استناد میکنند، در حالی که صاحبان محتوا معتقدند در دسترس بودن عمومی به معنای اجازه آموزش مدل تجاری نیست.