OECD报告｜开放的人工智能：定义、趋势及风险治理

报告信息

人工智能开放性：政策制定者的入门指南

AI openness: A primer for policymakers

报告来源：经合组织（OECD）

发布时间：2025年8月14日

摘要

本文探讨了人工智能（AI）领域的 “开放性”（openness） 概念，包括相关术语定义以及不同开放程度的存在形式。本文说明了为什么源于软件领域的 “开源” （open source）一词，无法充分涵盖人工智能所特有的复杂性。通过实验数据，本文分析了当前开源权重基础模型（open-weight foundation models）的发展趋势，既揭示了这类模型的潜在益处，也指出了其伴随的风险。文中还引入 “边际”（marginality）概念，为相关讨论提供更深入的视角。本文旨在以清晰简洁的方式呈现信息，为政策讨论提供支持，助力决策者探索如何在生成式人工智能基础模型的开放性与负责任治理之间实现平衡。

“开源”的由来

20 世纪 90 年代以来，开源软件（OSS）在商业软件领域内外部逐步普及，不仅推动了行业协作，还通过降低成本促进了软件在发展中国家的应用，同时平衡了大型软件公司的市场影响力、培育了创新生态、助力了技能提升，并借助社区反馈改善了软件质量。得益于这些优势及其他潜在价值，开源软件的理念被人工智能领域的部分群体继承 —— 在该领域，人工智能模型（或其部分组成要素）会依据相关许可条款公开发布，供任何人下载、修改和分发。

目前，关于公开人工智能模型或其组件的风险、收益与权衡取舍，各界仍在持续争论，尤其是针对具备通用能力的先进人工智能基础模型。随着深度求索（Deepseek）R1、OpenAI 的 GPT-OSS、阿里巴巴的通义千问（Qwen）等开源权重模型陆续推出，这一争论的热度进一步攀升。

基础模型的有益应用正逐步拓展至多个领域：医疗健康领域、沉浸式游戏领域以及个性化教育领域。若对人工智能模型的获取设置限制，可能会抑制创新、阻碍外部评估、削弱人工智能收益的广泛普及，并导致未来人工智能技术的控制权集中在少数主体手中。然而，基础模型也可能被恶意主体滥用，例如用于生成儿童性虐待材料、侵犯知识产权与隐私权，或实施具有高度迷惑性的诈骗 —— 受害者会误以为自己在与信任的亲友互动。

一旦模型开放，诸多防范滥用的保障措施都可能被规避；拥有足够专业知识和计算资源的主体，甚至可通过 “微调” 模型增强其被滥用的可能性。此外，模型发布后若想完全下架，或为防范新发现的风险而事后添加防护机制，实操难度可能极大。对人工智能模型及其各类组件的发布施加限制，虽可能引发知识产权相关争议，但或可提升安全性、激励创新，并遏制风险扩散。

本报告聚焦开源权重模型（即核心权重可公开获取的基础模型），探讨其潜在风险与收益。需注意的是，随着基础模型的研发与应用在技术变革和社会变迁中不断推进，公开模型权重的风险与收益之间的平衡关系可能会发生变化。

尽管本报告的核心是开源权重基础模型，但需明确：非通用型人工智能模型，或不符合上述 “先进” 定义的人工智能模型，同样可能存在风险。例如，Urbina 等人（2022）的研究表明，制药行业中使用的标准窄域人工智能工具，可能被改用于协助设计生化武器。

1. 为什么“开源”一词不适用于AI

“开源”（open-source）一词源于 “开源软件”（OSS）。1998 年，“开源” 被定义为一种 “社会契约”（后发展为一种认证标准），描述的是旨在公开可用的软件 —— 这类软件会依据特定许可协议发布，协议中明确了源代码的使用、修改与分发条件。

根据开源计划组织（OSI）的定义，开源软件许可协议必须满足十大核心标准，包括源代码可自由获取、允许衍生作品开发、不对软件使用者身份及使用目的设限等。理论上，“开源” 并不必然排除相关商业活动。

如今，“开源人工智能” 存在多种定义。开源计划组织（OSI）借鉴经合组织（OECD）对人工智能系统的定义，发布了开源人工智能定义草案：

“开源人工智能是指依据特定条款、以特定方式开放的人工智能系统，其核心是赋予使用者以下自由：无需申请许可即可将系统用于任何目的；研究系统工作原理并检视其组件；为任何目的修改系统（包括改变其输出）；将系统（无论是否修改）分享给他人使用。这些自由既适用于功能完整的系统，也适用于系统的独立组件。行使这些自由的前提是，使用者能获取‘修改系统所需的最优形式’的资源”。

Linux 基金会也提出了一套开源人工智能定义，与 OSI 草案不同的是，该定义要求公开模型底层组件的相关信息：

“开源人工智能（AI）模型允许任何人复用和改进该模型。开源人工智能模型包含模型架构（以源代码形式呈现）、模型权重与参数，以及训练数据相关信息 —— 这些内容需依据许可协议共同发布，允许任何接收者不受限制地使用、研究、分发、销售、复制、创作衍生作品，以及修改经许可的成果或其修改版本”。

由于人工智能模型与传统软件的构建方式存在本质差异，开源软件中 “源代码可免费公开下载” 的概念无法直接套用于人工智能领域。对人工智能模型而言，“源代码” 可能指代推理代码、训练代码，或两者兼具，且两类代码可独立分享。此外，人工智能模型除源代码外，还包含模型权重、训练数据等关键组件 —— 这些组件均可独立选择共享或保密，且与源代码及组件之间的状态互不绑定。

尤其需要注意的是，源代码与模型权重是两个完全不同的概念。将权重称为 “开源” 易产生误导，因为权重并不构成源代码：源代码是执行特定任务的指令集合，而权重是对数据进行训练与微调后得到的结果。适用于源代码的许可协议，无法直接套用于人工智能模型权重。

基于上述及其他考量，目前 “开源人工智能” 术语存在争议。部分人依据 OSI 的开源定义解读该术语，另一些人则将其视为涵盖多种访问方式的集合 —— 从 “无门槛可下载” 模型到完全开放模型均包含在内。完全开放模型（如 GPT-J）会公开所有训练代码、推理代码、权重及文档，允许使用者自由使用、修改和分发（包括用于商业目的）；无门槛可下载模型仅提供部分组件（如训练代码、模型权重），对其他组件（如原始训练数据）则予以保留；而有门槛可下载模型会对特定用户的访问权限加以限制，与前两者形成鲜明对比。

这种争议可通过 LLaMA、LLaMA2、Dolly、StableLM 等人工智能模型的定位体现 —— 这些模型使用 “开源” 一词的方式，与 OSI 对开源软件的定义并不一致。部分开发者仅因模型权重可下载，便声称其模型为 “开源”，即便其许可协议对某些使用场景和分发行为存在限制。

表1.1 Linux基金会模型开放性框架的组成部分

为助力评估和分类人工智能模型的开放性，Linux 基金会提出了 “模型开放框架”（MOF）—— 通过评估模型哪些组件已公开、依据何种许可协议公开来实现（表 1.1）。该框架将模型开放程度分为三个逐步扩展的等级：

• 三级 —— 开放模型（Class III – Open Model）：这是开放的最低门槛，要求核心模型（架构、参数、基础文档）依据开源许可协议公开。使用者可基于该模型进行使用、分析和二次开发，但对模型开发过程的了解有限。

• 二级 —— 开放工具（Class II – Open Tooling）：在三级基础上进一步扩展，除核心模型外，还需公开用于训练、评估和运行模型的全套代码，以及关键数据集。这些组件的公开能帮助社区更好地验证模型、排查问题，是实现模型可复现性的重要一步。

• 一级 —— 开放科学（Class I – Open Science）：这是开放程度的最高等级，要求依据开放科学原则公开所有相关成果。除二级包含的组件外，还需公开原始训练数据集、详细阐述整个模型开发过程的研究论文、中间检查点、日志文件等。这一等级为模型端到端开发流程提供了极高的透明度，有助于促进协作、审计和技术的累积进步。

2. 当前开源权重模型的发展趋势

图 2.1 显示，全球生成式人工智能基础模型的供应量呈明显加速态势，2024 年年中之后尤为突出。值得注意的是，开源权重模型不仅跟上了这一增长节奏，截至 2025 年 4 月，其在所有可用模型中的占比已达到约 55%。这一数据表明，开源权重模型的研发与供给正呈现扩大趋势。

图2.1 基础模型供应量持续增长，

开源权重模型占商业化模型半数以上

图 2.2 展示了不同国家在开源权重模型研发与供给方面的动态格局。美国在这两个维度均处于领先地位，这反映出其强大的人工智能生态系统与云基础设施优势。中国和法国也成为关键的研发国家；而荷兰与新加坡尽管本土研发者数量较少，却凭借优势成为主要的模型供给枢纽。这种 “研发 - 供给” 的地域分化，凸显了人工智能部署的全球性特征 —— 无论模型源自何处，往往会在云服务能力先进的国家进行托管。数据还显示，模型供给的国际分布正日益分散。【注：“研发者” 指对人工智能模型进行预训练与微调的企业】

图2.2 美、中、法处于开源权重模型研发前沿，

美、荷、新加坡的提供商供给量最大

图 2.3 聚焦基础模型提供商的地域集中度，显示美国占据主导地位 —— 其提供商数量占全球总量的一半以上。这种领先优势在开源权重模型研发领域同样存在。尽管中国、英国、法国、德国等其他国家也为该生态系统做出了贡献，但规模明显小于美国。【注：“提供商” 指为模型提供支持与托管服务的云服务公司。】

图2.3 超半数基础模型提供商位于美国

生成式人工智能基础模型的供给主要由 “文本到文本”（text-to-text）模型驱动，这类模型包括代码助手以及具备多模态功能的模型，占所有模型供给量的 78%。专注于图像生成的 “文本到图像”（text-to-image）模型占总供给量的 18%，而 “音频到文本”（audio-to-text）模型占比相对较小，仅为 2.5%。

值得关注的是，自 2024 年初以来，开源权重 “文本到文本” 模型（包括基础模型及其所有变体与更新版本）的平均质量实现了快速提升（如图 2.4 所示）。这一趋势表明，大型语言模型（LLMs）的性能在短期内取得了显著进步。【注：“文本到文本” 模型的质量指数取 Hugging Face 的 MMLU 得分、Arena ELO 得分与 GPQA 值的平均值。】

图2.4 开源权重模型质量显著提升

3.开源权重模型的潜在收益与风险

3.1 主要收益

开源权重模型的收益体现在多个方面，以下示例不分先后顺序：

1.推动有益创新：开源权重模型可加速人工智能研发进程，推动创新及新下游应用的整合。这类模型允许开发者在现有技术基础上二次开发，促进跨行业协作与实验，进而推动重大技术突破。这种协作环境不仅加快创新速度，还能鼓励探索新应用场景，最终扩大人工智能对日常生活的积极影响。

2. 支持外部评估：开源权重模型便于更广泛的开发者社区对项目进行独立评估，也能吸纳个体贡献，从而实现对模型性能与风险更全面的评估。借助整个人工智能社区的力量，还可对开源权重模型及其组件（如训练数据、权重、文档）进行审计与分析，助力发现漏洞、偏见及其他问题。此外，验证模型性能是否符合开发者宣称的标准，也是外部评估的关键形式之一。

3.提升人工智能开发效率：开源权重模型支持大规模协作，下游开发者无需为每个新应用 “从零开始”，只需对现有模型进行优化即可 —— 这有助于降低人工智能开发相关的资源消耗与成本。

4.助力人才培养：公开基础模型权重可促进人才发展。随着更多人有机会接触预训练的前沿模型，长期来看，人工智能人才库规模将逐步扩大；从更长远视角，这还能为不同地区的相关项目提供支持，助力缩小数字鸿沟。

5.扩大应用、普及度与市场选择：开源权重模型通过降低创新与市场准入门槛、支持协作及提供技能提升机会，扩大了开发者社区规模并促进竞争。这一趋势鼓励不同地区、不同背景的个体参与其中，推动开发出满足各类用户群体特定需求的应用（例如适用于不同语言与文化场景的生成式人工智能工具），进而让更广泛的人群能够使用人工智能应用并从中受益。

6.支持敏感数据管理：对于缺乏资源独立开发专有人工智能解决方案、且持有无法与闭源权重模型提供商共享的敏感数据的企业与政府而言，开源权重模型为其采用人工智能技术提供了便利。

7.实现设备端解决方案：直接获取模型权重便于在设备端部署模型，这对离线功能或隐私要求严苛的环境至关重要。此举可摆脱对互联网连接与第三方 API 访问的依赖，有助于解决数据传输与控制权相关的顾虑。

8.增强数字安全与防护机制：公开基础模型权重可强化网络安全 —— 红队（网络安全防护测试团队）可合法使用攻击者可能利用的工具，测试并模拟潜在攻击场景。这一过程提升了 “对手模拟” 能力，有助于制定更贴合实际、更有效的防御策略。此外，开源权重模型更易定制，可针对特定操作场景设置专属防护机制。

9.防范非预期有害行为：开源权重基础模型有助于防范非预期有害行为（如生成儿童性虐待材料（CSAM）、侵犯隐私）。通过让研究者更便捷地获取模型权重、架构、训练数据及训练流程，可更精准地定位此类有害行为的成因，使人工智能输出与用户价值观对齐，并提升对人工智能生成内容的检测能力。这种透明度支持对模型进行更有效的评估与微调，最终打造出更可信的人工智能系统，降低产生有害结果的可能性。

10.推进对齐与可解释性研究：“对齐研究” 旨在确保人工智能系统符合用户或开发者的偏好与价值观，通常需要通过强化学习等方法对模型进行微调。尽管可通过 API 实现微调，但这些接口可能无法提供底层模型的充足信息，难以支撑深入分析。此外，可解释性研究的部分内容需直接修改模型参数与激活模式，这要求完全或接近完全地访问模型。

11.分散影响力：开源权重模型的开发让广泛的社区能够影响人工智能的发展方向。这种影响力的分散具有经济、社会与政治层面的意义，或可推动人工智能潜在收益的更广泛共享。

3.2 潜在风险

开源权重模型的风险集中在 “可控性” 与 “危害性” 上，具体有：一是风险扩散更快，恶意主体可无限制微调模型，且原开发者难以监测修复，甚至可能暴露其他模型漏洞；二是滥用场景多样，包括生成有害内容（如 CSAM、NCII）、发起网络攻击、侵犯知识产权，以及通过 “成员推理” 等技术泄露训练数据隐私；三是存在不可预测风险，如 “智能体部署” 可能让模型自主交互引发意外，且生物、化学领域的滥用风险虽暂无充分证据，但需警惕。值得注意的是，部分风险与闭源模型有重叠，需区分 “开源新增风险” 与 “技术固有风险”。

3.3 整体风险评估中的边际收益与边际风险

评估开源权重模型的 “边际” 风险与收益（即相较于闭源模型或现有技术的风险，公开基础模型权重所新增的风险与收益）至关重要，这是理解开源权重模型真实影响的核心。这种方法使利益相关方能够将开源权重模型与现有工具及实践（包括人工智能与非人工智能领域）进行对比，并考量 “无此类模型时” 的潜在结果。

例如，若某开源权重模型在内容创作效率上优于传统方法，其边际收益可为 “支持公开模型” 提供依据；反之，若其恶意使用风险远高于现有技术，则需评估该模型是否具备更完善的风险缓解策略，或其收益是否足以证明公开的合理性。

通过聚焦边际评估，决策者可更准确地判断开源权重模型的优势是否大于潜在劣势。应对边际风险至关重要，这能确保干预措施与风险水平相适应、成比例。

需注意的是，边际评估仅是风险评估的方法之一。在不同场景下，其他基准可能更适用。单纯依赖边际对比的核心问题在于可能引发 “温水煮青蛙” 效应 —— 随着模型能力演进或使用模式变化，每次评估新模型时都会以 “更宽松的基准” 为参照，导致整体风险容忍度不断提升。因此，需建立更全面、更具适应性的风险框架，确保人工智能的研发与部署始终可信。

来源：经合组织（OECD）

时间：2025年8月

执笔：柳鑫荻（国科大经管学院硕士研究生）

声明：本文来自图灵财经，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。