自由軟體保護組織 SFC 發布 LLM 生成式 AI 使用建議,要求強制揭露並保持技能自主
Software Freedom Conservancy · 2026-06-18
背景
Software Freedom Conservancy(SFC)長期以來是自由開源軟體(FOSS)社群的重要法律與道德守護者,代管數十個知名開源專案。2026 年 6 月 18 日,SFC 發布了一份正式指導文件,題為《LLM-backed Generative AI Recommendations for FOSS Contributors》。這份文件並非強制規範,而是針對在工作或個人選擇上已開始使用 LLM 工具的 FOSS 貢獻者所提出的最佳實踐建議。
SFC 明確表示,此份建議的核心目標是「降低使用專有系統所造成的損害」,承認現實中許多貢獻者因雇主要求或個人需求已在使用這些工具,強行排斥並非可行之道。SFC 同時強調,社群應「支持而非僅是容忍」那些完全拒絕 LLM 工具的貢獻者,每位成員都有自主選擇的權利,任何形式的強制使用皆不可接受。
核心改動
這份建議涵蓋多個層面的實踐準則,其中最關鍵的是強制揭露(mandatory disclosure)原則:貢獻者必須在提交記錄中以機器可讀的格式,詳細說明使用了哪個 LLM 系統、版本為何,以及如何應用於貢獻內容。SFC 將此定性為「道德義務」,以確保專案的協作透明度不因 AI 工具的加入而受損。
在技術審查層面,建議要求貢獻者在提交 LLM 輔助的程式碼前,必須投入「大量時間進行審查」,避免將未經驗證的生成內容直接送出。未經人工審核的提交(unattended contributions)僅被允許進入專案中明確標示為接受此類提交的區域。這一原則的目的在於保護維護者有限的志願工作時間,並維護 FOSS 協作文化的品質基準。
在法律與授權方面,SFC 承認目前許多問題仍懸而未決,但建議採取「Copyleft Everything」作為最安全的做法——對於 copyleft 授權的程式庫,LLM 輔助產生的修改仍須遵循該專案授權,因為輸入素材的版權狀態直接影響產出物的授權義務。文件也提醒貢獻者避免過早對法律問題作出結論。
影響範圍
SFC 特別強調,LLM 工具應作為有經驗開發者的輔助,而非替代品;「當一位資深 FOSS 開發者坐在提示詞的掌舵位置時,這些系統最能發揮效益」。建議提醒開發者不應讓自身技能因過度依賴工具而退化,並呼籲對工具輸出保持批判性的好奇心。此外,SFC 也鼓勵有相關技能的人才優先投入開發更多以自由軟體為基礎的 LLM 系統,以減少對專有服務的依賴。
- 貢獻者需在 commit log 中以機器可讀格式揭露 LLM 使用細節(系統名稱、版本、用途)
- LLM 輔助的貢獻須經「大量人工審查」方可提交
- 保存 LLM 互動記錄,視同 Corresponding Source 材料處理
- 採用 Copyleft 授權為目前版權不確定性下最安全的做法
- 不得強制要求貢獻者使用 LLM 工具,個人自主必須受到尊重
SFC 表示將透過《The Corresponding Source》播客、公開 Q&A 及教學文件等形式持續與社群互動,並承諾定期更新這份建議以因應技術與法律環境的快速演變。這份文件的發布標誌著主流 FOSS 組織開始正面回應 AI 工具對開源生態系的結構性衝擊,而非迴避。
原始來源:SFC LLM 建議全文、LWN.net 報導
Mastodon 4.6 發布:Collections 策展功能領銜,兼顧 Fediverse 安全設計
Mastodon Blog · 2026-06-18
背景
Mastodon 4.6 於 2026 年 6 月 18 日正式發布,這是去中心化社交網路平台 Mastodon 的最新穩定版本。此版本的開發重心圍繞著「如何在提升社群探索能力的同時,不重蹈中心化平台的信任與安全問題」,尤其以全新的 Collections 功能為核心設計焦點。本版本延續 Mastodon 在 ActivityPub 協議上的持續深化,進一步擴充 Fediverse 的互動可能性。
核心改動
本版本最重要的新功能是 Collections(策展集合),讓用戶能夠建立並分享經過手動篩選的帳號列表,協助新加入 Fediverse 的使用者快速探索感興趣的社群與創作者。開發團隊在設計此功能時,有意識地避免其他平台上類似功能所衍生的濫用模式——例如被用於騷擾目標的「封鎖清單分享」或「攻擊名單」等問題——在功能設計層面即納入了防護機制。
除 Collections 之外,4.6 版本也引入了電子郵件訂閱(Email Subscription)功能,使用者可以選擇透過 email 接收特定帳號的貼文通知,為不常主動查看時間軸的用戶提供替代接觸管道。這一功能對創作者型帳號(例如新聞媒體、個人部落格)尤具實用價值,有助於拓寬 Fediverse 內容的觸及方式。
Year in Review 是另一項新增功能,允許用戶自動生成一篇回顧過去一年活動的總結貼文。此功能反映了社交平台對用戶參與感與留存率的重視,同時也以符合 Mastodon 精神的方式——由用戶自行控制是否生成與分享——實現類似功能,而非由平台強制推播。本版本亦包含多項無障礙功能(Accessibility)的強化,提升了不同能力用戶的使用體驗。
影響範圍
Collections 功能的推出,對 Fediverse 生態系有潛在的結構性意義。去中心化網路長期面臨「可發現性」(discoverability)不足的批評,新用戶常因找不到感興趣的帳號而流失;此功能若能普及,有望成為 Fediverse 的有機策展層,補足演算法推薦機制缺失所留下的空白。與此同時,開發團隊對安全設計的高度重視,也展示了 Mastodon 有別於中心化平台的產品哲學——功能上線前先思考潛在的濫用向量,而非事後補救。
- Collections:手動策展帳號集合,具備防濫用設計,助新用戶探索 Fediverse
- Email Subscription:支援透過 email 接收貼文通知
- Year in Review:用戶自控的年度活動回顧貼文生成
- Accessibility 改進:提升全平台無障礙使用體驗
原始來源:Mastodon 官方部落格、LWN.net 報導
Cloudflare Project Galileo 十二週年:3,400 個公民社會網站的網路安全防線
Cloudflare Blog · 2026-06-18
背景
Project Galileo 是 Cloudflare 於 2014 年啟動的公益網路安全計畫,以免費方式為新聞記者、人權組織、藝術團體及非營利機構提供 DDoS 防護與網路安全服務。2026 年 6 月,計畫邁入第十二年,Cloudflare 以此為契機發布了首份針對公民社會組織所受網路攻擊的全面性報告,揭露出令人警醒的威脅態勢。目前受保護的網站已逾 3,400 個,分布於 120 個以上的國家與地區。
採用的方法
Project Galileo 的申請資格由 59 個公民社會合作夥伴組織共同審核把關,確保保護資源確實流向有需要的高風險團體。Cloudflare 提供的保護建立在其橫跨 125 個國家、超過 335 個城市的全球網路基礎設施之上,目前處理全球超過 20% 的網路流量。此規模使 Cloudflare 得以在流量到達受保護組織的伺服器之前,即於網路邊緣吸收並過濾惡意流量。
此次週年報告首次系統性地量化了公民社會所面臨的攻擊規模。報告發現,DDoS 攻擊是最主要的威脅類型,部分攻擊持續時間長達數天乃至數週,遠超一般商業網站遭遇的攻擊強度。在漏洞利用攻擊方面,公民社會組織所遭受的頻率是一般 Cloudflare 客戶的七倍以上,顯示攻擊者對這類目標有著高度針對性的部署意圖。
報告中特別點出流亡記者群體所面臨的異常嚴峻處境——其惡意流量比例幾乎是一般客戶的四倍。電子郵件層面同樣危機四伏:公民社會組織收到的 email 中,約有 10% 含有潛在的網路釣魚(phishing)內容,遠高於一般組織。這些數據首次以公開形式提供了具體的攻擊基準,對政策制定者與捐助方理解數位公民空間的脆弱性具有重要參考價值。
影響範圍
為因應 AI 爬蟲對新聞媒體內容的大規模抓取問題,Cloudflare 在今年為 Project Galileo 新增了 AI Crawl Control 服務,讓受保護的新聞機構能夠主動管理 AI 訓練爬蟲的存取權限。此舉反映了公民社會網路安全需求的演進——從單純的 DDoS 防禦,擴展至內容主權與資料保護層面。
- 2026 年新增合作夥伴:International Center for Journalists、Media Cluster Norway、NGO-ISAC
- 公民社會組織遭漏洞利用攻擊的頻率為一般客戶的 7 倍以上
- 流亡記者所受惡意流量約為一般水準的 4 倍
- 約 10% 的公民社會電子郵件含潛在釣魚內容
- 新增
AI Crawl Control功能,保護新聞機構免受未授權的 AI 訓練爬蟲抓取
十二年間,Project Galileo 從一個理念驅動的試驗性計畫,演變為覆蓋全球公民社會的系統性保護基礎設施。首份攻擊數據報告的發布,標誌著計畫進入一個更具資料透明度與倡議影響力的新階段,將網路攻擊對民主社會的衝擊以具體數字呈現於公眾視野之中。
原始來源:Cloudflare Blog