Grigaliunas/SAIL-GPL

# SAIL‑GPL — 安全 AI 通用公共许可证 [](https://github.com/Grigaliunas/SAIL-GPL/actions/workflows/ci.yml) **🌐 网站：** **版本 1.0 — 可信完整性版** · SPDX：`SAIL-GPL-1.0` *(提议中)* · 由 The Open Reality Initiative 维护 SAIL‑GPL 是一份**用于 AI 模型构件的 copyleft 许可证，其中网络安全是授权的条件，而非事后补救。** 您将获得使用、研究、修改和重新分发模型的广泛权利——但是，每当您分发该模型或其衍生品时，您都必须提供可验证的 **Secure‑Release Metadata**：签名清单、AI 物料清单 (AI Bill of Materials)、包含风险披露的模型卡片、对抗性安全证明以及协调漏洞披露联系方。剥离安全性，您将失去该许可证。 它是一份**许可证提案和工程规范，而非法律建议。** 在生产环境中采用之前，请交由法律顾问审查。 ## 目录 | 文件 | 内容说明 | |---|---| | [`SAIL-GPL-1.0.md`](SAIL-GPL-1.0.md) | 规范的许可证文本（§0–§17）—— 权威标准。 | | [`web/index.html`](web/index.html) | 一个独立的主页，通过 [grigaliunas.github.io/SAIL-GPL](https://grigaliunas.github.io/SAIL-GPL/) 访问。 | | [`sail/`](sail) | 参考 `sail` 工具包 (Python) —— 用于 SRM 包的 `sign` / `verify` / `audit` (§14.3)。 | | [`example-model/`](example-model) | 一个完整的、已签名的 Secure‑Release Metadata 包 (§14.2)。 | ## 它的要求（第 7 节） 每次分发都必须提供一个完整的、可验证的 Secure‑Release Metadata 包： - **§7.1 签名溯源** —— 对所有模型文件哈希清单的 OpenSSF 模型签名 (OMS) 签名。 - **§7.2 AI 物料清单** —— 基础模型、数据集或数据来源、适配器、依赖项、流水线。 - **§7.3 模型卡片与风险** —— 预期用途、范围外用途、故障模式、安全评估。 - **§7.4 对抗性证明** —— 针对 OWASP LLM Top 10、MITRE ATLAS、CoSAI Risk Map 的签名测试结果。 - **§7.5 密码敏捷性** —— 声明算法、修订时重新签名、针对长寿模型的抗量子/混合加密。 - **§7.6 协调披露** —— 已发布的安全联系人和传播至衍生品的 CVD 策略。 - **§7.7 开放验证** —— 验证工具必须是开源的且可重新实现的。 - **§7.8 衍生时重新证明** —— 微调、合并或量化会更新义务，而绝不会解除义务。 义务随着能力层级（从 T0 研究到 T3 前沿/高风险）而扩大。 ## 网站 该主页已在 **** 上线（通过 GitHub Pages 从 [`web/`](web) 提供服务）。 ## 状态 公开审查草案。尚未注册 OSI/SPDX。允许逐字复制许可证文档；但不允许修改许可证文本——当然，您可以在该协议下为您的模型授权。 © 2026 Dr. Šarūnas Grigaliūnas · The Open Reality Initiative

标签：Python, 人工智能, 合规与治理, 开源许可证, 无后门, 用户模式Hook绕过, 软件物料清单(SBOM), 逆向工具