大事记篇

前言｜2025：从规模扩张到制度化开源的转折之年

2025年，被普遍视为全球开源事业的重要分水岭。

这一年，开源从过去十余年以“规模扩张”为主的增长逻辑，明显转向以“高质量治理”和“AI深度融合”为核心的新阶段。开源不再只是技术协作方式，而是在人工智能竞争、数字主权博弈、商业模式重构以及社区治理体系中，扮演着制度性基础设施的角色。围绕这一转变，2025年集中爆发了一系列具有长期影响的关键事件。

首先，在人工智能领域，开源完成了一次范式跃迁。

以大模型为特征的AI技术在2025年全面进入“开源主导”的新阶段，长期由闭源巨头控制的技术路径被实质性打破。以 DeepSeek 为代表的新一代开源模型，通过技术路线与成本结构的双重创新，改变了行业对大模型的“Scale Law”的盲目信仰。其R1模型证明，仅依靠强化学习即可在极低成本下训练出具备顶级推理能力的模型，引发了全球范围内关于“模型平权”的广泛讨论。随后发布的数学与定理证明模型，也进一步巩固了其技术影响力。

与此同时，2025年也被业界称为“智能体元年”。从通用大模型走向可执行任务的Agent体系，成为AI演进的关键方向。国内外厂商相继推出面向真实使用场景的计算机与网页自动化智能体，在编程领域出现全球风行的AI Coding智能体，而全模态模型的突破，则使语音、视觉与文本的实时协同成为现实。这一系列进展，标志着开源AI不再只是“模型权重的共享”，而是开始主导完整的产品形态与交互范式。

更值得关注的是，全球开源AI力量的地域结构也在发生变化。多项统计显示，中国开发的开源模型在全球下载量中的占比首次超过美国，Qwen、DeepSeek等项目成为主要贡献者，开源AI开始呈现出更加多极化的发展格局。

其次，是开源在国际政治与全球治理层面的价值跃迁。 2025年，开源不再只是技术合作的工具，而是被正式纳入国家战略与国际治理框架。联合国在年中举办的第二届“联合国开源周”，明确将开源视为数字公共基础设施（DPI）的重要支柱，Apache Software Foundation 也公开表示将支持相关原则的制度化落地。

在区域层面，欧洲将开源与技术主权紧密绑定，认为其是提升长期竞争力的重要制度工具。瑞士发布覆盖上千种语言的国家级开源模型，正是这一趋势的典型体现。与此同时，中美在AI与开源领域的地缘博弈持续加剧。一方面，美国国会层面出现限制本国用户使用部分中国开源技术的立法动向；另一方面，中国则通过发布国际合作倡议、与东盟共建开源社区等方式，主动塑造开放协作的话语空间。开源，正在成为数字时代，科技外交博弈中的关键战略手段。

再次，中国开源生态在2025年完成了一次结构性跃迁。 这一年，中国不再仅仅是全球开源体系中的重要参与者，而是逐步形成了“孵化—成长—毕业”的完整生态闭环。多个基础软件项目实现从基金会托管走向成熟自治，其中 OpenHarmony 与 openEuler 的正式毕业，被普遍视为中国基础软件生态迈入新阶段的重要标志。

从规模上看，中国开源开发者数量和活跃项目数持续领跑全球，形成了庞大而多元的社区基础。同时，全球开发者格局也在重塑，印度在开发者总量上首次超越美国，显示出开源贡献正在向更广泛的发展中经济体扩散。

然而，繁荣之下，治理与信任危机同样集中暴露。 2025年，多起事件引发了全球对开源可持续性的深度反思。在许可层面，Redis 选择回归OSI认可的AGPLv3许可证，试图在防范云厂商“搭便车”的同时，修复与社区之间的信任关系。

在基础设施层面，长期依赖志愿者维护的 Ingress NGINX 因人力与资金枯竭宣布终止维护计划，给全球大量生产系统带来冲击。这一事件清晰地揭示了“关键基础设施却缺乏稳定投入”的结构性风险。

商业公司与开源社区之间的张力同样加剧。KubeSphere 的相关争议，被广泛视为对开源生命周期与社区契约的破坏案例。此外，针对AI系统本身的安全攻击与隐私泄露事件，也不断提醒业界：当开源与AI深度结合，安全与信任问题将被成倍放大。

总体而言，2025年的开源世界发生了剧烈的板块重塑。 如果将全球开源生态视为一片共享的技术生态系统，那么这一年的AI开源浪潮无异于一次剧烈的“造山运动”——它迅速重塑了技术版图，让中小开发者与新兴组织也有机会站上能力高地。但与此同时，基础设施失养、信任破裂与治理缺位的问题，也如一条条正在生长中的裂缝，提醒着我们，危机无处不在。

各国政府通过立法和政策介入，试图为这片数字公地建立起制度化的护栏。开源，正在从极客文化中的理想主义实践，转变为现代数字文明的底座性基础设施——坚实、关键，但也比以往任何时候都更需要被精心治理与长期呵护。

第一章｜开源 AI：模型能力、智能体与“模型平权”的实现

2025年，开源AI领域迎来了爆发式增长，技术范式从单纯的参数竞赛转向深度推理、全模态感知与自主智能体（Agent）。中国开源AI力量表现尤为强劲，在下载量和模型质量上逐渐占据国际领先地位。

以下是2025年开源AI方面的新闻总结：

1.1 推理模型的范式跃迁：从参数竞赛到强化学习

2025年初，DeepSeek-R1的发布引发了全球关注，它证明了基于 纯强化学习（RL） 训练出的推理模型能显著降低成本并提升逻辑能力。

• DeepSeek系列： DeepSeek-R1及R1-Zero版本不仅在数学和代码上表现优异，且完全开源并提供极具竞争力的API价格。随后，DeepSeek持续迭代，推出了性能媲美奥数金牌水平的DeepSeekMath-V2 和专攻定理证明的DeepSeek-Prover-V2。
• 全行业跟进： 阿里开源了性能媲美超大模型的QwQ-32B推理模型；小米开源了在数学和代码推理上超越大模型的轻量级模型Xiaomi MiMo-V2-Flash；蚂蚁集团则开源了万亿参数的思考模型Ring-1T。
• 推理范式革新： 阶跃星辰推出并行协同推理框架PaCoRe，而华为通过FlashComm技术将推理速度提升了80%。

1.2 从多模态到全模态（Omni-modal）

大模型不再局限于图文，而是向音频、视频、3D、多模态实时交互全面演进。

• 全模态基座： 阿里巴巴开源了全球首个端到端全模态大模型Qwen2.5-Omni-7B 以及后续更强大的Qwen3-Omni，支持实时流式文本与语音输出。昆仑万维、蚂蚁集团也相继发布并开源了各自的全模态融合模型。
• 视觉与视频： 阿里云开源了通义万相Wan2.2电影级视频生成模型；字节跳动开源了支持用户手绘轨迹控制的视频框架ATI；腾讯开源了工业级生图模型混元图像3.0。
• 3D与音频： 腾讯混元开源了Hunyuan3D-PolyGen美术级3D生成模型；B站开源了自研语音生成模型IndexTTS-2.0；Mistral发布了首款企业级开源音频模型Voxtral。

1.3 智能体（Agent）成为核心产品形态

2025年被视为“智能体元年”，开源AI正从“对话框”走向“操作系统”。

• 桌面与移动端自动化： 智谱发布了全球首个回车即用的电脑智能体GLM-PC 和支持手机自动化操作的AutoGLM；微软开源了浏览器任务智能体Magentic-UI。
• 开发框架： 零一万物联合开源中国推出Open Agent Kit平台以降低开发门槛；格拉斯哥大学发布了全球首个AI智能体自进化框架EvoAgentX。
• 编程助手： GitHub Copilot推出了Agent模式，标志着从代码补全向自主编程代理的迈进；月之暗面开源了具备自主修复代码库能力的Kimi-Dev-72B。

1.4 垂直领域的高质量开源 AI

开源AI在专业场景展现出深度的实用价值：

• 医疗与科学： 瑞金医院与华为联合开源临床级病理模型RuiPath；西湖大学开源了全自动AI科学家系统DeepScientist；上海科学智能研究院开源了全球首个大规模动脉瘤计算流体数据库Aneumo。
• 垂直工业： 清华大学开源了结构化数据大模型极数（LimiX）； "浙江大学" 海洋精密感知技术国家重点实验室发布了首个海洋领域开源模型OceanGPT。
• 具身智能： 智元机器人开源了GO-1通用具身基座大模型；小米开源了打通自动驾驶与具身智能的MiMo-Embodied。
• 智能汽车： 可以分为“模型供给侧”和“产业采用侧”
  • 模型供给侧： 车企/车圈参与开源模型与具身底座。吉利与阶跃星辰联合开源 Step-Video-T2V、Step-Audio，并解释其在自动驾驶数据合成、座舱交互等用途；小米开源跨具身基座模型 MiMo-Embodied（打通智驾与机器人）；小鹏开源第二代 VLA（面向全球商业伙伴）。
  • 产业采用侧： 开源大模型在座舱/端侧的规模化扩散。20+ 车企接入 DeepSeek，且呈现三类接入路径：直接接入 / 多模型协同 / 深度融合蒸馏训练；多家座舱接入 Qwen，出现“底层多模型融合 + 蒸馏协同”的工程化路径；MiniCPM 端侧座舱助手强调“纯本地、弱网可用、毫秒级响应”，可作为“端侧开源模型产品化”的典型。

小结

2025年的开源AI如同一场“技术普惠”的春雨。如果说早期的开源AI只是提供了一个可以观察的“黑盒子”，那么2025年的开源潮则直接将“实验室的精密仪器”搬到了开发者的桌面上。从DeepSeek对训练成本的重构，到Qwen对多模态的全面覆盖，再到各类Agent对生产力的深度介入，开源AI正让先进生产力像空气和水一样，变得触手可及且能够随需定制。

第二章｜基础开源技术：操作系统、语言与算力底座

2025 年，开源技术与基础设施领域迎来了显著的现代化与架构革新。主要的趋势包括系统内核和操作系统的持续深化、AI 原生基础设施的崛起、开发工具链的跨平台优化以及对系统安全性与效率的追求。

2.1 操作系统、内核与底层架构的进化

Linux 内核和主流发行版在性能和架构支持上持续演进，同时国产操作系统生态建设迈向成熟。

• Linux 内核更新与架构进化：

  • 稳定版发布： Linux 6.18 版本正式发布，引入了 AccECN 拥塞控制协议支持、BPF 程序签名、基于 sheaves 的内存管理改进、Rust 编写的 binder 驱动以及 命名空间文件句柄管理 等重要新特性。此前发布的 Linux 6.13 引入了新的 “懒惰抢占”（lazy preemption）模型，以平衡调度灵活性和性能，并支持 细粒度文件时间戳。
  • 内存管理优化： 内核持续优化内存子系统，包括改进 hugetlb 页表遍历机制、匿名虚拟内存区域（VMA）的合并以提升性能，以及通过 sheaves 缓存层提升 Slab 分配器的效率。此外，新的补丁正在开发中，以支持 NUMA 节点间的热点页迁移和针对加速器的专用内存管理。
  • 新架构支持： 开发者成功将 Linux 内核移植到 WebAssembly (Wasm) 平台，为边缘计算和沙箱化应用开辟了新路径。同时，ARM 架构完成了 PREEMPT_RT 实时补丁的进一步整合，增强了 Linux 在实时控制场景的能力。
  • 安全性与Rust重构： 社区掀起了用Rust重写关键组件的热潮。Ubuntu 25.10计划使用Rust编写的sudo-rs替代传统sudo，Debian的APT工具也宣布了Rust依赖要求。此外，uutils项目已完成对GNU Coreutils中100多个核心命令的Rust重写。

• 国产操作系统成熟： 开源鸿蒙（OpenHarmony）在 2025 年 11 月正式顺利孵化毕业，标志着中国基础软件生态进入成熟阶段。OpenHarmony 6.0 Release 版本增强了 ArkUI 组件、窗口管理和分布式数据管理等多项核心能力。在汽车领域，理想汽车（理想星环OS）、东风汽车（天元OS中间件）和普华基础软件（星辉计划）相继推动整车操作系统的开源，助力行业标准化。

2.2 编程语言、工具链与开发环境现代化

AI 的普及推动了开发工具的智能化和底层语言的内存安全化。

• 语言热度变化： Python在TIOBE榜单中创下25.35%的历史最高份额，而Perl时隔多年重返前十。Java也迎来了诞生30周年的重要时刻，正通过Project Loom等项目积极融入AI时代。
• 自研语言： 华为正式开源了全场景智能编程语言 “仓颉”。AI原生语言 MoonBit 发布了Beta正式版，其编译器已开源并正迈向1.0版本，在WebAssembly领域展现出极高性能。
• 高性能全栈平台： Bun 1.3 版本正式发布，从运行时演变为功能完备的全栈开发平台，原生支持 HTML 运行、内置数据库客户端和高性能 Redis 客户端，并提供增强的 Monorepo 管理和供应链安全功能。
• 跨平台与云原生开发： 腾讯开源了基于 Kotlin Multiplatform 技术的跨端开发框架 Kuikly（支持 iOS 26 新特性）和 ovCompose/KuiklyBase，解决了 Compose Multiplatform 在鸿蒙和 iOS 上的兼容性问题。字节跳动也开源了基于 Rust 工具链的跨平台前端框架 Lynx，支持四端统一开发。
• AI 原生工具链： 华为宣布 CANN 和 Mind 系列工具链全面开源，以推动昇腾生态开放。清华大学开源了 “赤兔Chitu”推理引擎，首次实现国产芯片原生运行 FP8 精度模型。
• 量子与科学计算： 中国移动开源了“五岳纪元”量子计算操作系统；中科曙光则发布了一站式科学大模型开发平台OneScience。

2.3 数据基础设施与中间件创新

在 AI 和云原生需求的驱动下，数据存储、流处理和网络协议迎来了关键升级。

• 云原生与数据流： Apache Kafka 4.0.0 候选版本已发布，社区正在推动文档迁移和虚拟集群新架构的提案。OpenTeleDB 作为全球首个运营商级开源数据库由天翼云正式发布，专注于高并发、高可靠通信场景。PostgreSQL 18与MySQL 9.3也相继发布，持续优化SQL性能与扩展性。
• AI原生数据底座： 蚂蚁集团开源了首款AI数据库seekdb。新的融合型数据库EloqConvergedDB将关系型、KV、文档与向量数据能力融合于单一引擎，以简化 AI 应用开发栈。
• 网络与通信： Linux 内核开始集成 QUIC 协议基础设施，旨在提升现代网络服务效率。英特尔开源了 Tofino P4 网络交换机编译器组件，为高性能网络交换技术提供了创新平台。

2.4 硬件、工具与应用升级

从通用应用到专业运维工具，开源软件持续迭代，聚焦安全性和用户体验。

• 硬件与高性能计算支持： 摩尔线程宣布其 GPU 全面支持开源生态，已开发 300 个高性能算子并逐步开源。海光信息 DCU 完成对 DeepSeek-V3 和 R1 模型的适配。中科曙光推出开源科学大模型开发平台 OneScience。
• 开发工具与 IDE： IntelliJ IDEA 在 2025 年的多个版本（2025.2.2、2025.2.5）中持续修复 Docker Engine、WSL 兼容性及 Gradle 同步等问题。DBeaver 25.3 版本增强了对 SQL 编辑器的修复与优化。
• 专业软件升级： 开源 3D 建模软件 Blender 5.0 版本正式发布，带来了完全重设计的色彩管理系统和对 Vulkan 渲染后端的强化支持。开源电子书管理工具 Calibre 8.0 新增了更先进的文本转语音引擎和音频叠加层功能。
• 安全与运维工具： Apache 软件基金会（ASF）启动了首个 “ASF 工具倡议”，专注于构建支持可复现构建和生成 SBOM（软件物料清单）的关键工具链，以满足日益严格的立法安全要求。运维领域，1Panel 开源面板新增了 Ollama 模型管理和 GPU 监控功能，以提升 AI 开发者的运维效率。

2.5 整车操作系统开源化：从项目到社区底座

• 东风开源“天元OS”，并成为 AUTOSEMO 社区首个开源项目；后续逐步释放源码与跨域中间件。
• 理想提出并将“星环OS”按组件开源（车控、智驾、通信中间件、虚拟化等），并成立指导委员会推进生态协同。

小结

总之，开源技术基础设施正以前所未有的速度拥抱 AI 时代的需求，通过在底层系统（如 Linux 内核和 OpenHarmony）、新型编程语言（Rust/MoonBit）以及高性能数据流和计算架构（如 OpenTeleDB、AI 超算网络）方面的创新，构建更安全、更高效、更具开放性的数字底座。这一趋势体现了开源生态从单纯的代码共享向全栈技术资源的开放与协同演进。

第三章｜开源社区生态：繁荣、变革与可持续性危机

2025年，“开源社区生态”呈现出全球贡献力量重心转移、治理机构积极变革以及可持续性面临严峻挑战的复杂格局。以下是该年度相关新闻的综合总结：

3.1 全球贡献格局的结构性变化

2025年，开源贡献的地域分布发生了历史性转变。

• 印度崛起： 根据GitHub Octoverse 2025报告，印度首次超越美国成为全球最大的开源贡献者基地，2025年新增开发者超过520万。Linux基金会印度（LF India）成立一周年之际，新增了六大子基金会，推动了印度从开源“使用者”向“影响者”的转变。
• 欧洲与日本的战略调整： 《2025年欧洲开源世界报告》显示，开源采用在欧洲广泛普及，操作系统采用率达64%，超过90%的组织从开源中获得持续或增加的价值，但高层对其战略价值的认知仍有差距，欧洲正致力于通过开源提升数字主权。与此同时，69%的日本组织因开源提升了商业价值，远超全球平均水平，但其OSPO（开源项目办公室）的设立率仍有待提高。

3.2 治理机构的变革与合规响应

各大基金会通过组织调整和新倡议来应对日益增长的立法和技术需求。

• Apache软件基金会（ASF）： 2025年，ASF完成了领导层新老交替，任命了新任主席与副主席，并启动了首个 “ASF工具倡议”，旨在提升项目安全交付能力以应对《欧盟网络安全韧性法案》（CRA）等合规要求。此外，多个项目如Gravitino、StormCrawler等成功从孵化器毕业成为顶级项目。
• Linux基金会（LF）： 谷歌联合LF发起“中立”的Chromium开发基金，吸引了Meta、微软等巨头加入，以确保Chromium生态的中立治理。
• Rust基金会： 设立“创新实验室”，为具备商业潜力的Rust项目提供财务托管与运营支持，推动生态长期稳定。

3.3 中国开源生态的质量跨越

中国开源社区正从规模扩张向深度产业落地转型。

• 标志性项目毕业： 2025开放原子开发者大会宣布，开源鸿蒙（OpenHarmony）与开源欧拉（openEuler）正式毕业，标志着中国基础软件生态进入成熟阶段。截至2025年中，鸿蒙生态设备总量已超11.9亿台。
• 区域生态联动： 苏州落地了全国首个省级开源社区“开放原子紫金专区”；重庆发布了国内首个具身智能机器人开源社区；武汉公示了包括OpenHIS在内的年度优秀开源项目。
• 开发者规模： 开放原子开源基金会披露，截止2024年底，中国活跃开源开发者已达227万人，活跃项目超300万个。

3.4 汽车开源社区组织化：操作系统社区 + 合规/标准协同

• AUTOSEMO 社区：围绕“中央集中+区域控制”的EE架构整车OS底座，自下而上覆盖虚拟化、内核、标准中间件、跨域中间件与工具链/标准体系，并阶段性释放接口与标准。
• 开源小满 EasyXMen “星辉计划”：面向量产车用OS协同创新与应用赋能，体现“从可用到敢用”的产业诉求。
• OpenSDV：参与合规工作组、团体标准、闭门研讨会、论坛与蓝皮书撰写，体现“社区=协作+标准+合规”的复合形态。

3.4 生态危机与可持续性警示

尽管繁荣，开源模式在维护和信任方面也遭遇了严峻考验。

• 基础设施危机： 运行数年的Ingress NGINX控制器项目因长期缺乏人力和资金支持，被Kubernetes社区宣布将于2026年终止，引发数千用户混乱。此外，专家警示开源项目过度依赖GitHub等专有基础设施存在“重蹈覆辙”的风险。
• 商业与开源冲突： KubeSphere闭源删库事件引发全球社区强烈反响，被指破坏了开源信任体系并违背OSI开源标准。
• 安全合规挑战： 研究显示，开源社区对欧盟CRA法案的准备程度参差不齐，急需从单纯合规转向社区共建的安全实践。

小结

总体而言，开源社区生态，始终呈现喜忧参半的图景。这座热带雨林的根基——长期维护与信任体系——依然脆弱。如果不能建立起有效的“营养回流”机制（即企业对开源维护者的实质性回馈），即便森林表面看起来再繁茂，也可能因核心基础设施的枯萎而面临崩塌风险。

第四章｜开源软件安全：供应链、攻击与制度回应

2025年，开源软件安全领域的新闻反映出AI技术的深度介入、供应链安全范式的演进以及高强度地缘政治背景下的网络对抗。以下是对该年度相关新闻的综合总结：

4.1 AI时代的“双刃剑”：防御强化与隐私泄露

2025年，AI既是提升安全能力的利器，也成为了新的风险源。

• 安全模型与框架的爆发： 业界发布了多个专门用于提升AI安全性的开源工具，如Meta的LlamaFirewall（应对提示注入和不安全代码生成）、Meta与UCB联合开源的Meta-SecAlign-70B（防御能力超过主流闭源模型）、以及阿里联合高校发布的Oyster-I（倡导“主动引导安全”新范式）。京东也开源了JoySafety框架，构建从训练数据到内容识别的四重防护体系。
• 自动化审计工具： Anthropic开源了Claude Code Security Reviewer和Petri，推动安全评估从手工向规模化、自动化演进。OpenSSF发布了Model Signing v1.0，为机器学习模型提供数字签名标准，防范篡改。
• 重大隐私与安全隐患： 尽管技术在进步，但2025年底的报告指出，GitHub Copilot泄露了超过2万个私有仓库内容，涉及谷歌、华为等巨头。此外，DeepSeek iOS应用被发现明文传输数据，引发了对开源AI应用基础网络安全实践的关注。

4.2 供应链安全的深化：从SBOM到可重现构建

软件供应链安全从理论走向了实战与立法的双重驱动。

• SBOM的全球协作： CISA、NSA等19个国际合作伙伴发布了 《SBOM网络安全共同愿景》，将SBOM定义为软件的“成分清单”。欧盟《网络弹性法案》（CRA）进一步强化了SBOM作为法定要求的地位。
• 可重现构建（Reproducible Builds）： Fedora计划实现99%软件包的可重现构建，以验证二进制包与源码的一致性。谷歌推出了OSS Rebuild项目，通过重建过程验证软件包完整性，防范“下毒”。
• 治理工具与平台： 出现了如Heisenberg（供应链健康检查工具）和VulnRisk（上下文感知漏洞风险评估平台）等新型开源工具。

4.3 高危漏洞与攻击态势

2025年见证了多次刷新纪录的攻击事件和影响广泛的系统漏洞。

• DeepSeek遭受极端DDoS攻击： 2025年1月，DeepSeek服务器遭遇峰值达每秒2.3亿次请求的史上最强攻击，由多家云厂商协同防御。
• 关键设施漏洞： Kubernetes环境中的 “IngressNightmare” 四个高危漏洞被披露，影响全球40+%的云环境。React 被发现存在导致源码泄露和DoS攻击的新漏洞。此外，Node.js、WSL以及iOS系统均修复了影响重大的安全漏洞。
• 仓库污染与投毒： npm仓库遭到大规模“代币farming”攻击，超过15万个恶意包被投放。Shai-Hulud v2 攻击活动从npm扩散至Maven，暴露了数千个API密钥和凭证。

4.4 基金会与国际组织的安全治理响应

开源基金会和地方性政策正在构建更具韧性的安全生态。

• 基金会动态： Apache安全团队在2025年持续跟踪上百个安全问题，并全面部署了内容安全策略（CSP）以保护隐私。OpenSSF深入探讨了“开源项目安全基线（OSPS Baseline）”，作为共享的安全检查清单。
• 国际政策导向： 2025年欧盟开源政策峰会呼吁将开源视为公共产品，并探索设立欧盟支持的长期维护基金，以解决基础项目资金不足导致的安全隐患。
• 行业专利与标准： 中铁科院等机构申请了开源软件风险处理专利，安势科技等企业与基金会合作，推动软件安全由被动防护转向主动治理。

小结

2025年的开源软件安全正经历一场从“修补漏洞”到“全生命周期免疫”的范式转移。如果把开源生态比作一个全球共享的供水系统，那么2025年的新闻告诉我们：虽然水质检测工具（如AI安全大模型和审计工具）变得前所未有的先进，但针对水源地的大规模投毒（如npm投毒）和针对水塔的强力冲击（如DDoS攻击）依然猖獗。现在的治理思路不再仅仅是发现杂质，而是通过为每滴水贴上“数字化标签”（SBOM与数字签名），并建立更透明的过滤标准（可重现构建与安全基线），确保这股生命之水在流向千家万户的复杂管网中始终保持透明与可信。

第五章｜开源商业：从技术优势到价值实现

2025年，“开源商业”领域在资本运作、大模型商业化落地、商业模式创新以及合规可持续性方面取得了显著进展。根据提供的来源，以下是对该年度开源商业新闻的综合总结：

5.1 开源大模型的成本革命

2025年，开源大模型不仅在技术上与闭源模型并驾齐驱，更在商业应用和部署成本上展现出巨大优势。

• 云厂商全面集成： 2025年初，华为云、阿里云、腾讯云、微软、亚马逊及英伟达等国内外主流云平台纷纷接入DeepSeek-V3与R1模型，形成了广泛的支持格局。
• 部署成本大幅下降： 到2025年8月，部署开源大模型的成本显著降低。例如，在Fireworks AI运行DeepSeek R1的价格仅为8美元/百万token，远低于闭源模型的75美元，这极大地推动了企业级私有化部署的普及。
• 市场渗透率预期： 国际调研机构沙利文预计，未来将有超过80%的企业采用开源大模型，其调用量在2025年上半年同比激增了363%。

5.2 融资、IPO与资本结构变化

资本市场对开源及AI生态表现出极高的热情，融资规模频创纪录。

• 史诗级融资： OpenAI于2025年3月完成了史上最大单轮融资（400亿美元），投后估值高达3000亿美元。此外，开源基础设施平台Together AI也完成了3.05亿美元的B轮融资。
• IPO进程： “AI六小龙”之一的智谱计划于2025年10月完成上市辅导。GPU芯片企业沐曦股份已经于2025年12月正式上市科创板，并承诺持续推进其MXMACA软件栈的开源。
• 人才与服务投资： 远程开发平台Turing完成1.1亿美元E轮融资，估值达22亿美元，巩固了其在AI驱动人才匹配领域的地位。

5.3 商业模式的演进：PLG 与按量计费

开源商业化不再局限于传统的订阅制，出现了更多元和高效的路径。

• PLG模式的胜利： AI代码助手Cursor凭借开源策略和产品主导增长（PLG）模式，在没有企业销售团队的情况下实现了10 亿美元 ARR。
• 灵活计费： GitHub Copilot推出了Pro+订阅计划，探索按模型请求次数计费的新模式。
• 全栈生态： 开源中国（Gitee） 构建了涵盖“模型-数据-算力-应用”的全栈商业化闭环，其“源盾可信中心仓”旨在保障软件供应链安全。

5.4 产业协同与区域生态建设

各界正通过设立基金和加强国际协作来构建更完善的商业环境。

• 专项基金与论坛： 上海揭牌了全国首个企业数字化服务开源专项基金。同时，外滩举办的“开源+数字经济”论坛探讨了开源在跨境支付和技术标准共建中的支撑作用。
• 行业领军者： 阿里巴巴因其在AI+云战略及开源贡献方面的全球影响力，被《时代》杂志评为“开源AI领军者”。
• 垂直领域应用： 移远通信与RWKV合作推动端侧轻量化AI落地；天天开源发布了面向医疗和企业的OpenHIS与OpenCOM系列管理软件。

5.5 合规、安全性与可持续性挑战

在繁荣背后，开源商业也面临着法律、安全和生存模式的考验。

• 监管合规： 企业需开始为 欧盟《网络安全韧性法案》（CRA） 做准备，履行风险评估和漏洞披露等义务。
• 安全风险： 2025年底出现的利用AI聊天机器人（如Drift AI）窃取企业凭证的事件，提醒企业AI接口正成为供应链攻击的新跳板。

小结

2025年的开源商业已从“技术情怀”全面转向“价值创造”。如果把开源商业比作一棵果树，那么早期的开源更多是在培育根系和枝叶（技术与社区）；而到了2025年，随着资本的灌溉和商业模式的创新，这棵树已经进入了大规模采摘期。然而，我们也必须记得给树根施肥（补偿维护者），否则繁荣将难以持续。

第六章｜许可与合规治理：从软件到 AI 的规则重构

2025年，“开源许可与合规治理”领域正处于从传统软件向人工智能（AI）时代跨越的剧烈转型期。由于AI模型权重、训练数据及生成内容的法律属性模糊，加之国际监管趋严，合规治理已成为企业和社区的核心议题。以下是该年度相关新闻的综合总结：

6.1 AI大模型许可的博弈：开放与限制并存

在AI领域，宽松许可证与专用许可证的竞争日益激烈，旨在平衡生态建设与商业利益。

• 宽松许可的普及： 2025年初，DeepSeek将其Qwen和Llama蒸馏模型以MIT协议开源，显著降低了使用门槛。随后，IBM发布的Granite 3.2系列以及GPT-OSS、Qwen3等主流模型也多采用Apache 2.0或MIT协议，这被认为是推动企业在金融、医疗等敏感领域合规采用开源AI的重要基础。
• 非商业与限制性尝试： 与之相对，英伟达发布的Audio Flamingo 3模型采用了OneWay非商业许可证，仅限研究用途。此外，OpenAI首个开源权重模型的发布因安全测试多次延期，反映出巨头在开放与风险控制间的权衡。
• 新标准的建立： 自由软件基金会（FSF） 发布了评估机器学习应用是否符合“自由”标准的准则，涵盖训练数据来源和模型可复现性。同时，法律专家开始深入探讨大模型专利、Agent（智能体）法律地位及不正当竞争等复杂命题。

6.2 许可变更引发的社区震荡与“分叉”潮

企业为了商业化调整许可证，往往会引发社区的防御性反击，导致项目分叉。

• Redis回归开源： 在经历转向SSPL的争议后，Redis从8.0版本起增加AGPLv3作为可选许可证之一，标志着其回归OSI认证的真正开源，旨在平衡防止云厂商剥削与维护社区信任。
• 防御性分叉： 针对HashiCorp对Terraform许可证的限制，OpenTofu作为完全开源替代方案受到关注。此外，由于Semgrep更改规则集许可禁止无偿商业使用，多家软件公司联合发起Opengrep项目进行分叉，以维持规则集的开放性。
• 所有权变更的担忧： Arduino在被高通收购后修改服务条款，引发了社区对其未来可能转向闭源或限制商业用途的广泛担忧。Liquibase也宣布了许可证变更计划，持续引发关于商业平衡的讨论。

6.3 合规司法实践与监管制度化

2025年是开源合规从“行业自律”向“司法强制”迈进的关键年。

• GPL强制执行里程碑： 在SFC诉Vizio案中，美国法官发布初步裁决，支持SFC作为购买者与Vizio存在合同关系，可能强制Vizio根据GPL协议共享其电视软件的源代码。此外，维基百科全面回顾了GPL的法律效力及近年来因合规复杂性导致的采用率波动。
• 欧盟法案的影响： 随着 《欧盟网络安全韧性法案》（CRA） 的推进，开源贡献者急需理清“制造商”与“维护者”的法律责任边界。欧盟政策峰会甚至建议，要求关键基础设施的大型商业使用者必须承担安全审计和维护费用。
• 全球监管挑战： 开发者开始系统性应对美国OFAC制裁对全球开源协作的影响，并探讨如何建立跨国合规框架。

6.4 专利开源在汽车领域的实操化

• 深蓝开源两项核心专利群（电池安全、脉冲加热等），属于“知识产权资产开放”的典型事件。
• OpenSDV 参与专利池团体标准、组织“专利开源战略与运营实践”研讨会：可作为“专利开源从倡议走向机制化运营”的样本。

6.5 治理工具与标准的升级

自动化和标准化成为降低合规成本的主要手段。

• 官方工具发布： OSI（开放源代码促进会）推出了新的API，允许程序化查询其批准的开源许可证列表，提升了合规治理的自动化能力。
• 标准与专利保障： 中国国家中心及沪苏浙京多地组织分别发起了开源软件知识产权风险评估、项目首版本评价等标准研讨。深圳开源申请了基于ScanCode的许可识别专利，以提升源码扫描效率。此外，针对日益严峻的专利风险，OSI专家提出了多种识别和规避专利威胁的法律方案。
• 版权争议升级： 迪士尼发函叫停谷歌Gemini，指控其侵犯知识产权，凸显了生成式AI时代内容溯源与版权归属的迫切需求。

6.6 许可机制的创新探索

为了适应新环境，社区开始尝试新型许可模式。

• Copyleft-next项目重启： 该项目引入了 “著佐权日落条款”（15年后自动转为宽松许可）和 “双重许可无效化” 机制，试图在代码进入公共领域与开发者收入之间寻找新平衡。

小结

2025年的开源许可与合规治理如同在“数字化深水区”航行。 如果把开源协议比作航海规则，以往这些规则主要针对帆船（传统软件）；而现在，随着AI这些“核动力巨轮”的加入，旧规则在动力归属和排放标准（权重数据与生成内容）上显得力不从心。因此，这一年我们既看到了对传统规则的极力维护（如Vizio案对GPL的捍卫），也看到了为了适应新航道而进行的规则重塑与工具升级。

第七章｜开源教育：从技能补充到制度化培养

2025年，开源教育迈入从“兴趣驱动”向“体系化育人”转型的新阶段。随着开源成为数字经济时代的重要创新基础设施，高校、基金会、企业和社区共同构建起覆盖课程建设、工程实践、能力认证与职业发展的培养体系。与此同时，生成式AI的快速发展进一步降低了开源参与门槛，推动开源教育向智能化、实战化和普惠化方向演进。

7.1 高校与专业体系的制度化引入

2025年，多所高校将开源技术与开源协作方法纳入正式教学体系，推动人才培养逐步走向标准化和制度化。

微专业与学科建设。 华中科技大学落地全国首个985高校开源鸿蒙微专业，并启动卓越工程师培养计划。开放原子开源基金会支持建设“开源软件开发”专业方向，探索从课程教学、实践训练到能力认证的完整培养链路。

评价机制改革。 开源贡献开始纳入人才评价体系。中北大学率先将学生开源贡献成果纳入保研加分和教师职称评审指标，推动“贡献导向型”评价机制落地，为高校开源育人提供了可复制的实践样本。

优秀案例推广。 开放原子开源基金会发布《2025中国高校开源育人案例集》，收录清华大学、北京理工大学等29所高校的35个典型案例。CCF“开源高校行”活动则走进北京航空航天大学等高校课堂，持续扩大开源教育影响力。

7.2 AI驱动的开源教育平台

生成式AI的广泛应用正在重塑开源教育模式，使学习者能够以更低门槛参与真实项目开发与创新实践。

教育评测体系建设。 北京理工大学发布教育大模型综合评估基准EduBench，整合1.8万条开源数据集，覆盖教学、测评、辅导等9类教育场景，为教育AI应用提供标准化评测基础。

智能学习平台探索。 华东师范大学构建面向AI时代的开源教育智能学习平台，实现课程内容与真实开源项目的深度衔接，推动“学中做、做中学”的教学模式创新。

零门槛实验环境普及。 Andrej Karpathy开源nanochat项目，以极简代码帮助学习者理解大语言模型全流程；西湖大学开源ColabSaprot平台，使非计算机背景研究人员能够训练蛋白质语言模型；Replit通过AI Agent打造零配置云开发环境，进一步降低软件开发和开源贡献门槛。

7.3 开源实践与工程能力培养生态

相比传统课堂教学，开源教育更强调真实场景中的工程训练。2025年，围绕开源项目实践、开发者培养和创新竞赛的生态持续繁荣。

开源毕业设计实践。 天工开物开源基金会发起开源毕设计划，在2025 CCF中国开源大会上，来自华中科技大学、湖北大学等高校的学生分享了开源毕业设计经验，涵盖遥感可视化协议开发、Halo插件生态建设等方向，展示了开源对科研创新和工程实践的促进作用。

工程化人才培养。 越来越多企业开始将真实开源项目引入人才培养过程。例如，七牛云持续推进 XEngineer 新工科计划（原1024实训营），通过企业导师、开源项目协作和阶段性工程任务，引导学生在真实研发场景中完成从学习者到贡献者的成长。这类模式正成为校企协同育人的重要探索方向。

重磅赛事持续举办。 第八届CCF开源创新大赛正式启动，设置AI Infra等多个前沿赛题，聚焦工程实践与创新能力培养，吸引全国高校学生参与。

资源与算力支持。 “校源行”等项目通过算力入校、课程共建和社区协作等方式，让学生在校期间即可参与真实开源项目，实现“学习即实践、实践即贡献”。

7.4 全球公益与能力建设

开源教育正在超越校园边界，成为促进全球数字能力建设和技术普惠的重要力量。

公益基金支持。 “CCF-光华青年开源基金”正式成立，探索“公益+开源”的创新模式，为青年开发者提供项目资助与成长支持。天工开物开源基金会同步推出年度奖学金计划，鼓励青年群体参与开源创新。

国际认证与人才培养。 开源中国与LFOSSA联合启动人工智能人才认证计划，探索普惠型AI教育与能力认证体系建设，为开源人才培养提供国际化路径。

全球能力建设研究。 联合国数字与新兴技术办公室（ODET）发布关于AI对ICT行业劳动力影响的研究报告，重点探讨未来技能重塑与人才培养策略。巴西举办OpenForum Academy研讨会，围绕开放技术、数字包容和社会创新展开交流，展现开源教育在全球范围内的影响力。

小结

2025年的开源教育已经从单纯的技能培训演进为覆盖课程建设、工程实践、能力认证和职业发展的系统性培养体系。高校将开源纳入正式教育框架，企业和社区提供真实项目场景，AI工具则显著降低了参与门槛，共同推动形成“教育—实践—贡献—成长”的人才培养闭环。

如果把传统教育比作在室内泳池学习游泳，那么2025年的开源教育更像是让学生直接驶向真实海域：AI工具成为智能导航系统，社区导师提供经验支持，而规范化课程和评价体系则构成航海规则。学习者在参与真实开源项目的过程中，不仅掌握技术能力，更培养协作、创新与持续贡献的工程素养，实现从知识获取者向开源创新者的转变。

第八章｜开源政策：国家战略与地方竞合

2025年，“开源政策”领域经历了从单纯的技术倡导向国家战略制度化、全球监管法规化、以及地方生态竞赛化的深度转变。开源已不再仅仅是开发者的自发行为，而成为了大国博弈、产业创新和全球治理的核心议题。以下是针对2025年开源政策方面的新闻总结：

8.1 中国国家级战略：深化“AI+”与开源体系建设

中国政府在2025年将开源提升到了培育“新质生产力”的战略高度，通过多部委联动完善顶层设计。

• “AI+”专项行动： 国务院与国资委多次部署“AI+”专项行动，强调掌握人工智能“根技术”，支持开源社区建设，推动模型、工具和数据集的开放共享。国家发改委也表示将积极践行开源开放路径，通过资源共享降低应用门槛。
• 开源体系与生态扩容： 工信部明确将加快推进开源体系建设，特别是在 开源鸿蒙（OpenHarmony） 应用生态扩容和国家级人工智能开源社区建设上加大力度。
• 创新性政策尝试： 工信部首次明确提出 “鼓励探索开展专利开源”，旨在通过知识产权的开放促进电子信息制造业的协同创新。此外，政府还计划将开源贡献纳入学分认证和教师成果认定，从教育源头培养开源文化。

8.2 地方政府政策竞赛：重金扶持与特色布局

2025年，中国各主要城市纷纷出台专项政策，通过高额奖补抢夺开源高地。

• 北京与上海： 北京经开区通过政策奖励（最高300万元）吸引优质项目扎根，致力打造全球领先的开源平台。上海则审议通过了开源体系建设实施方案，对高影响力的开源模型和社区给予最高500万元奖励，并重点布局具身智能开源项目。
• 广东与武汉： 广东省对开源社区建设每年最高资助800万元，并推动企业基于开源大模型开发工业模型。武汉市及东湖高新区表现尤为突出，对开源原生应用开发最高给予3000万元的支持。
• 长远规划： 浙江、重庆等地的“十五五”规划建议中，均明确提出要营造全球最优的开源生态，巩固大模型建设的领先地位。

8.3 汽车产业政策首次明确“发挥开源优势“

• 多部委联合印发《汽车行业稳增长工作方案（2025—2026年）》提出“充分发挥开源优势”，并点名汽车芯片、操作系统、AI、固态电池等关键技术方向。
• 北京《开源生态体系建设实施方案（2026—2028年）》强调高质量 AI 数据集征集，并覆盖智能网联汽车等领域。

8.4 国际监管与政策博弈：合规时代的到来

全球范围内，开源软件开始面临前所未有的法律约束，尤其是欧盟的强力监管。

• 欧盟《网络安全韧性法案》（CRA）： 该法案在2025年对开源社区产生了深远影响，明确了在欧洲市场商用的开源组件必须履行安全合规义务。为了缓解社区压力，欧盟发布了针对开源开发者的简明指南，并探讨如何平衡软件主权与合规成本。
• 欧盟“开源优先”路线图： 欧盟委员会发布了战略文件，提出70项措施（如建立欧洲开源主权基金EOSSF），推行 “公共资金，公共代码” 原则，旨在通过开源增强技术自主性，减少对外依赖。
• 美国政府的透明度举措： 美国证券交易委员会（SEC）全面实施开源政策，要求新开发的定制代码默认向公众开放。然而，特朗普政府的AI.gov计划在GitHub上的意外泄露也引发了关于政策合规与安全风险的讨论。

8.5 治理标准与全球协作：构建可信开源

开源政策的重点正从“开放”转向“可控与安全”。

• 标准分级验证： 中国电子标准院启动了首批大模型开源开放分级标准符合性验证，为评价大模型的开放程度提供了客观依据。同时，《人工智能安全治理框架》2.0版的发布，为跨行业协同治理提供了指导。
• 全球数字公共基础设施（DPI）： 联合国机构与合作伙伴通过“DPI Day”等活动，推动符合《全球数字契约》原则的开放、可信数字基础设施建设，利用开源方案实现可持续发展目标。
• 大模型的伦理讨论： 自由软件基金会（FSF）等组织开始深入探讨大语言模型对自由软件运动的影响，关注训练数据版权和用户控制权等核心问题。

小结

2025年的开源政策正从“自由生长”进入“规范治理”阶段。如果把开源技术比作公用的水源，那么2025年的政策建设就像是在修建一套完善的净化与配水系统。过去，大家只关注如何从水源取水（使用开源）；现在，政府和国际组织开始制定规则，规定谁来维护水源（开源贡献）、如何确保水质安全（CRA/安全框架）、以及如何通过修建水渠让缺水的地区也能获益（技术普惠）。虽然增加的过滤器（监管政策）可能会让取水过程变复杂，但它确保了整个数字生态系统能够长期、安全地运行下去。

第九章｜国际协作与开源外交：规则、主权与公共产品

2025年，“国际协作与开源外交”领域呈现出全球治理深化、区域技术主权增强以及大模型开源化等显著趋势。以下是针对该年度相关新闻的综合总结：

9.1. 全球治理与多边协作的深化

2025年，开源技术已成为国际外交和全球治理的重要工具，尤其在联合国框架下得到了显著加强。

• 联合国开源倡议： 联合国于2025年6月举办了第二届 “联合国开源周”，推动开源技术在数字公共基础设施（DPI）和人工智能治理中的应用。同时，Apache软件基金会（ASF） 积极响应，拟支持“联合国开源原则”，并派代表参与联合国活动，标志着开源社区与国际外交机构的深度融合。
• 跨机构协调： 联合国系统内部成立了 “开源联合”（Open Source United） 社群，旨在通过跨机构合作和资源共享，推动整个联合国系统大规模采用开源软件。
• 数字普惠行动： 中国中央网信办发布了《全球发展倡议数字普惠行动倡议》，明确支持人工智能开源社区建设，旨在通过开放的技术体系帮助发展中国家弥合“智能鸿沟”。

9.2. 区域技术主权与政策博弈

各国和区域组织在通过开源实现技术自立的同时，也面临着严峻的地缘政治挑战。

• 欧洲的技术主权： 2025年欧盟开源政策峰会强调，开源是实现欧洲竞争力与技术主权的核心，呼吁建立欧洲开源云与AI生态系统。同时，欧洲多所高校联合开源了地球观测模型EarthMind，瑞士也推出了覆盖千种语言的国家级开源大模型Apertus，以彰显其在AI主权领域的战略布局。
• 中美AI博弈： 在开源外交的阴影下，地缘政治冲突依然存在。据报道，美国国会拟立法禁止本国用户使用DeepSeek等中国AI技术（法案仍在审议中，尚未正式通过），违者可能面临重刑，反映了中美在AI领域博弈的加剧。
• 中国的国际辐射力： 中国积极推动“开源外交”，工信部拟发布《国际人工智能开源合作倡议》；科技部提出共建中国—东盟人工智能开源开放社区。此外，开源鸿蒙（OpenHarmony） 通过与Eclipse基金会合作推动Oniro OS出海，展现了中国开源项目在国际技术治理中的影响力。

9.3. 产业巨头的生态联盟与基础模型开源

2025年，全球产业界出现了一波由竞争转向协作的浪潮，特别是在AI和汽车等关键领域。

• AI智能体联盟： Linux基金会发起了AI智能体开源基金会（AAIF），吸引了OpenAI、谷歌、亚马逊、Anthropic等巨头加入，旨在防止生态碎片化。Linux基金会创始人指出，随着技术栈的演进，AI基础模型注定将全面开源。
• 汽车软件协作： 德国三大车企——大众、奔驰、宝马联手博世等11家巨头，共同开发开源汽车软件栈，以降低研发成本并促进创新。
• 高新技术的公共化： IBM与NASA联合发布了用于预测太阳天气的Surya开源模型；甲骨文（Oracle）则开源了其超级计算机的核心网络架构，旨在提升全球AI算力的效率。

9.4. 重点区域与多元化贡献

开源外交的触角正在向全球南方（Global South）延伸。

• 非洲的开源潜力： 2025年，Eclipse基金会首次赞助在尼日利亚举行的OSCAFest，报告显示全球南方地区的女性贡献者比例（34%）远高于全球平均水平。此外，非洲区域性即时支付系统（IPS）的开源实践正在推动其贸易一体化。
• 跨区域创新链： 在中国国内，京津冀开源产业联盟的成立旨在打造跨区域的开源创新链，而杭州、珠海、澳门等地也通过举办国际性开源会议，推动政产学研的国际协同。

小结

2025年的开源外交不仅仅是技术共享，更是一场关于规则制定权、数字主权和全球包容性的深度较量与协作。

如果把全球技术发展比作一场交响乐表演，那么开源外交就像是乐谱的公开共享。虽然各国（乐团）在指挥风格和声部安排（技术主权与政策）上各有考量，甚至存在竞争，但正是通过这种基于“共有乐谱”的协作，全球数字化进程才能在差异中达成宏大的和谐，避免因各自为政而陷入技术孤岛的“失语症”。

全文总结

2025年，在开源界发生的各类重大事件，整体而言，更像是一场“数字公地的觉醒”。 如果将全球开源生态视为一片共享的技术生态系统，那么这一年的AI开源浪潮无异于一次剧烈的“造山运动”——它迅速重塑了技术版图，让中小开发者与新兴组织也有机会站上能力高地。但与此同时，基础设施失养、信任破裂与治理缺位的问题，也如水土流失般日益明显。

各国政府通过立法和政策介入，试图为这片数字公地建立起制度化的护栏。开源，正在从极客文化中的理想主义实践，转变为现代数字文明的底座性基础设施——坚实、关键，但也比以往任何时候都更需要被精心治理与长期呵护。