تکناو
TEKNAV

امنیت سایبری

دعوای Adafruit در برابر Flux.ai: آزمون افشای مسئولانه در برابر ارعاب حقوقی

دعوای Adafruit و Flux.ai پرسشی بنیادی را مطرح می‌کند: آیا شرکت‌های AI می‌توانند با تهدید حقوقی، منتقدان را ساکت کنند؟

وقتی یک محقق امنیتی آسیب‌پذیری‌ای پیدا می‌کند و مسئولانه آن را گزارش می‌دهد، انتظار دارد تشکر دریافت کند — نه برگه دادگاه. ماجرای Adafruit Industries و Flux.ai نشان داد که اصول «افشای مسئولانه» که سال‌هاست در جامعه امنیت سایبری جاری است، وقتی به داده‌های آموزشی هوش مصنوعی می‌رسد، ناگهان به یک میدان مین حقوقی تبدیل می‌شود.

پاسخ کوتاه: دعوای Adafruit در برابر Flux.ai به این پرسش می‌پردازد که آیا افشای مسئولانه آسیب‌پذیری‌های داده آموزشی هوش مصنوعی باید مانند امنیت سایبری از تهدید قانونی مصون بماند. یک محقق مرتبط با Adafruit پس از یافتن شباهت غیرعادی خروجی‌های Flux.ai به طراحی‌های متن‌باز Eagle این شرکت، آن را طبق پروتکل استاندارد گزارش داد، اما به‌جای بررسی، نامه حقوقی دریافت کرد؛ رفتاری که EFF آن را نمونه‌ای از ارعاب علیه افشاگران خواند.
دعوای حقوقی Adafruit و Flux.ai بر سر داده‌های آموزشی هوش مصنوعی
نقشه PCB طراحی‌شده با Flux.ai — ابزاری که ادعا می‌شود از فایل‌های طراحی متن‌باز Adafruit بدون اجازه در آموزش مدل خود استفاده کرده است.

۱. Flux.ai چیست و ماجرا چگونه آغاز شد

Flux.ai یک استارتاپ است که ابزار طراحی PCB (برد مدار چاپی) مبتنی بر هوش مصنوعی ارائه می‌دهد. برخلاف ابزارهای سنتی مانند KiCad یا Eagle، Flux.ai از مدل‌های AI برای پیشنهاد شماتیک، Layout خودکار، و تولید فایل‌های Gerber استفاده می‌کند. این ابزار توجه جامعه سخت‌افزاری را جلب کرد زیرا طراحی PCB یکی از مهارت‌های فنی دشوار است که AI در آن می‌توانست ارزش واقعی ایجاد کند.

اما مشکل از آنجا شروع شد که یک محقق مرتبط با Adafruit Industries — شرکت سخت‌افزار متن‌باز بسیار محبوب با بیش از ۴.۵ میلیون مشترک یوتیوب — متوجه شد که خروجی‌های Flux.ai شباهت‌های غیرعادی به طراحی‌های Eagle متن‌باز Adafruit دارد. طراحی‌هایی که Adafruit سال‌هاست تحت مجوزهای Creative Commons منتشر می‌کند.

محقق با رعایت کامل پروتکل افشای مسئولانه ابتدا به Flux.ai ایمیل زد، ادعای خود را مستند کرد، و فرصت ۳۰ روزه داد. پاسخ Flux.ai به جای تشکر یا حتی بررسی جدی، یک نامه حقوقی بود با تهدید به پیگرد قانونی.

«ما فایل‌های طراحی خود را متن‌باز کردیم تا جامعه سازنده رشد کند، نه تا شرکت‌های AI از آن‌ها بدون اجازه کسب درآمد کنند.» — Limor Fried، بنیان‌گذار Adafruit

۲. مجوزهای Creative Commons در طراحی سخت‌افزار

قلب این دعوا در مجوزهای Creative Commons است. Adafruit فایل‌های Eagle (شماتیک و PCB Layout) خود را معمولاً تحت مجوز CC BY-SA (Attribution-ShareAlike) یا در مواردی CC BY-NC-SA (با محدودیت تجاری) منتشر می‌کند.

سوال حقوقی اینجاست: آیا استفاده از یک فایل CC-licensed به‌عنوان داده آموزشی برای مدل تجاری AI، نقض مجوز محسوب می‌شود؟ این سوال هنوز در هیچ دادگاهی به‌صورت قطعی پاسخ نگرفته است.

در حوزه سخت‌افزار، علاوه بر Creative Commons، مجوز CERN OHL (Open Hardware License) هم وجود دارد که توسط سازمان CERN برای طراحی‌های سخت‌افزار متن‌باز ایجاد شد. CERN OHL نسخه ۲ (۲۰۲۰) صراحتاً در مورد استفاده تجاری از طراحی‌های مجوزدار مقرراتی دارد، اما «آموزش AI» به‌عنوان یک use case در زمان نوشتن آن وجود نداشت.

اصول افشای مسئولانه (Responsible Disclosure): در امنیت سایبری، محقق ابتدا به فروشنده اطلاع می‌دهد، ۹۰ روز فرصت اصلاح می‌دهد، سپس در صورت عدم رفع، به‌صورت عمومی افشا می‌کند. این اصل حالا در مورد آسیب‌پذیری‌های داده‌های آموزشی AI هم اعمال می‌شود — اما واکنش قانونی شرکت‌ها این رویکرد را تهدید می‌کند.

۳. سابقه: GitHub Copilot و نویسندگان نرم‌افزار

این اولین بار نیست که جامعه متن‌باز با شرکت‌های AI بر سر داده‌های آموزشی درگیر می‌شود. GitHub Copilot در ۲۰۲۲ با دعوای حقوقی از سوی گروهی از توسعه‌دهندگان متن‌باز روبرو شد که ادعا داشتند Microsoft بدون اجازه از کد آن‌ها برای آموزش مدل استفاده کرده است.

آن دعوا هنوز ادامه داشت که Stability AI، Midjourney، و DeviantArt هم با شکایت‌های مشابهی از هنرمندان روبرو شدند. الگوی مشترک همه این موارد یکسان است: شرکت AI ادعا می‌کند استفاده از داده‌های عمومی «fair use» است؛ صاحبان محتوا ادعا می‌کنند حتی اگر محتوا عموماً در دسترس باشد، مجوزش را برای آموزش مدل تجاری نداده‌اند.

تفاوت مهم ماجرای Adafruit این است که موضوع نه فقط نقض کپی‌رایت، بلکه نقض پروتکل گزارش‌دهی هم هست. شرکت به جای بررسی ادعا، محقق را تهدید کرد — رفتاری که جامعه امنیتی آن را «قربانی کردن پیام‌رسان» می‌نامد.

۴. اثر ارعاب حقوقی بر فرهنگ افشا

خطرناک‌ترین پیامد این ماجرا برای جامعه فنی، اثر سرد ارعاب حقوقی (Chilling Effect) است. وقتی یک محقق می‌بیند که گزارش مسئولانه یک مشکل منجر به نامه حقوقی می‌شود، انگیزه‌ای برای گزارش آسیب‌پذیری‌های بعدی نخواهد داشت.

در جامعه امنیت سایبری، این الگو سال‌هاست که با مفهوم SLAPP (Strategic Lawsuit Against Public Participation — دعاوی حقوقی استراتژیک برای سرکوب مشارکت عمومی) شناخته می‌شود. شرکت‌های قدرتمند گاهی از دعاوی بی‌پایه برای ترساندن و خاموش کردن منتقدان استفاده می‌کنند، حتی اگر در نهایت دعوا را ببازند.

EFF (Electronic Frontier Foundation) وارد ماجرا شد و اعلام کرد که تهدید حقوقی Flux.ai به محقق «نمونه‌ای از ارعاب که فرهنگ گزارش‌دهی مسئولانه را تخریب می‌کند» است. EFF آمادگی حمایت حقوقی از محقق را اعلام و از شرکت خواست که تهدید را پس بگیرد.

«تهدید حقوقی به کسی که مشکل را گزارش می‌دهد، اشتباه است. این رفتار را نمی‌توان با هیچ استدلال قانونی توجیه کرد.» — EFF، بیانیه رسمی ۲۰۲۵

۵. واکنش جامعه Maker و اهمیت آن

Adafruit تنها یک شرکت سخت‌افزاری نیست — یک نهاد فرهنگی در جامعه Maker است. Limor «Ladyada» Fried، بنیان‌گذار شرکت، اولین مهندس زنی بود که روی جلد مجله Wired ظاهر شد. Adafruit با ارائه آموزش‌های متن‌باز، ابزارهای رایگان، و طراحی‌های CC-licensed عملاً نقش یک دانشگاه عمومی برای سازندگان الکترونیک را بازی کرده است.

وقتی Flux.ai به این شرکت تهدید حقوقی فرستاد، واکنش جامعه سریع و شدید بود. هزاران کاربر در Reddit (r/electronics، r/arduino)، Hacker News، و شبکه‌های اجتماعی ابراز حمایت کردند. چندین بلاگ فنی از Flux.ai خواستند که توضیح بدهد چه داده‌هایی در آموزش مدل استفاده شده‌اند.

این ماجرا نشان داد که جامعه Maker — برخلاف تصور بعضی شرکت‌ها — حافظه قوی و صدای بلندی دارد. Flux.ai در نهایت مجبور شد بیانیه‌ای صادر کند، اما بدون عذرخواهی واقعی یا شفافیت در مورد داده‌های آموزشی.

Adafruit Industries: بنیان‌گذاری ۲۰۰۵ در نیویورک — بیش از ۴.۵ میلیون مشترک یوتیوب — ۱۰۰٪ تامین مالی از محصولات (بدون سرمایه‌گذاری خارجی) — بیش از ۱,۰۰۰ محصول طراحی‌شده داخلی با مجوز CC — یکی از ۲۵ کارفرمای برتر فنی نیویورک از نظر تنوع و فرهنگ کاری.

۶. مقایسه مجوزهای متن‌باز سخت‌افزار در برابر آموزش AI

یکی از ریشه‌های ابهام حقوقی در پرونده Adafruit-Flux.ai این است که هیچ‌کدام از مجوزهای رایج برای انتشار طراحی سخت‌افزار، در زمان نگارش خود، سناریوی «استفاده به‌عنوان داده آموزشی برای یک مدل هوش مصنوعی تجاری» را پیش‌بینی نکرده بودند. نتیجه این است که یک محقق یا شرکت باید از روی متن مجوزهایی که برای دنیای دیگری نوشته شده‌اند، حکمی برای دنیای AI استخراج کند.

جدول زیر تفاوت رویکرد چند مجوز پرکاربرد در جامعه سخت‌افزار متن‌باز — از جمله همان‌هایی که Adafruit برای فایل‌های Eagle خود به کار می‌برد — را در چند محور کلیدی نشان می‌دهد.

مجوزاجازه استفاده تجاریالزام انتشار مجدد (Share-Alike)موضع صریح درباره آموزش AI
CC BY-SAبلهبله، اثر مشتق باید با همان مجوز منتشر شودندارد
CC BY-NC-SAخیربلهندارد، اما کاربرد تجاری اساساً خارج از مجوز است
CERN OHL-S (Strongly Reciprocal)بلهبله، حتی برای طراحی‌های مشتق‌شدهندارد
CERN OHL-P (Permissive)بلهخیرندارد
Public Domain / CC0بله، بدون محدودیتخیرندارد؛ اما Adafruit فایل‌های خود را با این مجوز منتشر نکرده است

نکته مشترک در همه این ردیف‌ها این است که ستون آخر تقریباً همیشه خالی است. نویسندگان این مجوزها به Share-Alike، انتساب و گاهی منع تجاری‌سازی فکر کرده بودند، اما نه به مدلی که میلیون‌ها فایل طراحی را می‌بلعد و از آن‌ها الگو یاد می‌گیرد بدون آنکه یک نسخه مشتق قابل ردیابی از یک فایل مشخص تولید کند. همین خلأ است که به هر دو طرف دعوا اجازه می‌دهد ادعای خود را «مطابق مجوز» بخوانند، و دقیقاً همین ابهام است که پرونده Adafruit-Flux.ai را از یک اختلاف ساده به یک آزمون سرنوشت‌ساز برای آینده سخت‌افزار متن‌باز تبدیل کرده است.

نتیجه‌گیری: لزوم قوانین شفاف برای داده‌های آموزشی AI

ماجرای Adafruit-Flux.ai یک هشدار جدی است. با گسترش سریع ابزارهای AI که از داده‌های متن‌باز آموزش می‌بینند، جامعه فنی نیاز به یک چارچوب حقوقی واضح دارد که پاسخ دهد: آیا مجوز CC-BY استفاده برای آموزش مدل تجاری AI را شامل می‌شود؟

در غیاب این چارچوب، دو راه ممکن است: یا جامعه متن‌باز شروع به استفاده از مجوزهای محدودکننده‌تر می‌کند (که به معنای کاهش داده‌های عمومی برای همه است)، یا شرکت‌های AI باید داوطلبانه پروتکل‌های افشا و اعتراف به منابع داده را اتخاذ کنند. تجربه نشان داده که گزینه دوم بدون فشار قانونی یا اجتماعی اتفاق نمی‌افتد. این ماجرا آغاز یک نبرد طولانی است که نتیجه‌اش شکل اینترنت متن‌باز آینده را تعریف می‌کند.

پرسش‌های پرتکرار

افشای مسئولانه (Responsible Disclosure) چیست؟

افشای مسئولانه یک پروتکل رایج در امنیت سایبری است که در آن محقق ابتدا به‌صورت خصوصی مشکل را به سازمان مربوطه اطلاع می‌دهد و فرصتی معمولاً ۳۰ تا ۹۰ روزه برای اصلاح می‌دهد، سپس در صورت عدم پاسخ به‌صورت عمومی افشا می‌کند. هدف این فرآیند حفاظت از کاربران و در عین حال دادن زمان کافی به شرکت برای رفع مشکل است.

چرا Flux.ai به‌جای بررسی گزارش، محقق را تهدید کرد؟

دلیل دقیق داخلی این تصمیم عمومی نشده، اما واکنش شرکت با نامه حقوقی به‌جای بررسی فنی، در جامعه فنی به‌عنوان تلاش برای خاموش کردن یک منتقد قبل از افشای عمومی تفسیر شد. EFF این رفتار را نمونه‌ای از ارعاب دانست که به فرهنگ گزارش‌دهی مسئولانه آسیب می‌زند.

تفاوت مجوز Creative Commons و CERN OHL در طراحی سخت‌افزار چیست؟

Creative Commons مجموعه‌ای عمومی از مجوزهاست که برای هر نوع اثر خلاقانه از جمله متن، تصویر و فایل طراحی به کار می‌رود و در نسخه‌های BY-SA یا BY-NC-SA الزام به انتشار مجدد یا منع تجاری‌سازی دارد. CERN OHL مجوزی اختصاصی برای سخت‌افزار متن‌باز است که مستقیماً به مفاهیم فنی مثل فایل طراحی و محصول ساخته‌شده می‌پردازد؛ هیچ‌کدام از این دو صراحتاً درباره استفاده از فایل‌ها برای آموزش مدل‌های هوش مصنوعی حکمی ندارند.

SLAPP چیست و چه ارتباطی به این پرونده دارد؟

SLAPP مخفف Strategic Lawsuit Against Public Participation است؛ دعاوی حقوقی که هدف اصلی‌شان نه پیروزی در دادگاه بلکه ترساندن و مستهلک کردن مالی منتقدان است. منتقدان ماجرای Adafruit-Flux.ai نگران بودند که نامه حقوقی ارسالی به محقق، الگویی از همین نوع فشار باشد، هرچند تا این مرحله به شکایت رسمی دادگاه تبدیل نشده است.

آیا استفاده از فایل‌های CC-licensed برای آموزش مدل‌های AI قانونی است؟

پاسخ قطعی وجود ندارد، چون هیچ دادگاهی هنوز به‌صورت نهایی این پرسش را برای مجوزهای Creative Commons یا CERN OHL بررسی نکرده است. بحث‌های مشابه در پرونده‌های GitHub Copilot، Stability AI و Midjourney نشان می‌دهد که شرکت‌های AI معمولاً به «fair use» استناد می‌کنند، در حالی که صاحبان محتوا معتقدند در دسترس بودن عمومی به معنای اجازه آموزش مدل تجاری نیست.