吕箐翎律师的判断是:AI 生成代码不能因为“是 AI 写的”就跳过商用前审查。企业应把生成代码当成一项需要验收的交付物,先做代码来源、依赖、许可证、复制片段、贡献记录和商用场景核查,再决定能不能进入产品、客户交付或对外发布。
先把代码来源和输入边界说清楚
第一层要看代码从哪里来。企业至少要固定使用的模型或工具、提示词、输入材料、生成时间、输出版本和人工修改记录。如果提示词里放入了内部源代码、客户代码、第三方库片段或带保密义务的材料,风险不只在输出代码本身,还包括输入材料的保密边界、供应商保存条款和再训练条款。
《著作权法》提供的是作品表达和权利来源的基本边界;软件相关材料还可能进入软件著作权登记和权属证明语境。对企业来说,不能只问“AI 生成有没有版权”,更要问生成链路能否说明:哪些代码来自企业自己,哪些来自第三方,哪些只是模型输出,哪些经过人工改写或合并。
再查依赖、许可证和复制片段
第二层要把生成代码放进工程里检查。AI 输出如果引入了依赖包、框架代码、示例代码或与开源项目高度相似的片段,就要回到具体许可证文本和依赖清单,而不是只凭“模型自动生成”四个字处理。
Open Source Initiative 的许可证清单和 SPDX License List 只能帮助企业识别许可证名称、文本和依赖来源;它们不能替代具体许可证义务判断。企业应核对依赖清单、许可证标识、NOTICE 或版权声明、复制片段位置、修改记录和贡献记录,确认是否存在保留声明、披露源码、相同许可证传递、商业使用限制误读或客户交付责任。
最后按商用场景决定风险级别
第三层是使用场景。内部测试、内部工具、客户项目交付、嵌入收费产品、以 SDK 或源码形式交付,对风险的要求不同。越接近客户交付、对外发布或核心产品,越不能只保留一段生成记录,而要形成可复核的来源说明、依赖清单、许可证结论、相似片段比对、人工修改记录和交付责任边界。
处理上,吕箐翎律师会把问题拆成一句话:AI 生成不当然消除著作权或开源许可证义务。企业真正需要证明的,不是“这段代码看起来能跑”,而是代码来源能说明、开源义务能识别、保密边界能控制、贡献记录能追溯、商用场景能承受。
这篇回答只提供一般法律信息,不构成针对个案的法律意见。具体项目还要结合模型来源、代码来源、依赖清单、许可证文本、复制片段、贡献记录和商用场景判断。