Advarer tech-bransjen mot AI-kode: Kan bli en juridisk bombe

– Man må prøve å finne balansen mellom å utnytte AI-verktøyenes potensial med at man ikke bygger produkter eller hele virksomheter basert på usikker grunn, advarer advokat, Erik Sletner i CLP. 

Han bistår teknologiselskaper og teknologifond med alt fra løpende rådgivning til oppkjøp og due diligence-prosesser, og har den siste tiden bekymret seg stadig mer for det han tror er en tikkende bombe: Selskaper som tar i bruk AI-generert kode uten å ha kontroll på rettigheter, lisensvilkår og eierskap.

– AI har en åpenbar kjempegevinst, men det har også en pris. I praksis outsourcer mange arbeidet til en leverandør som ikke garanterer for kvaliteten på det man får, eller tar ansvar for feil eller opphavet for koden, påpeker advokaten. 

Lisensfeller og lekkasjer 

De største juridiske fallgruvene han ser knytter seg til det man mater inn i AI-verktøyet (input), og det man får ut (output). 

– Det typiske er at du ber AI-en om å utvikle en funksjonalitet til softwaren, så kopierer du den direkte inn i koden. Risikoen er da, og det har man flere studier på, at AI-modellen kan memorisere og reprodusere kode den har blitt trent på fra før, sier Sletner. 

Risikoen er altså at modellen reproduserer kildekode den har trent på, som kan tilhøre andre eller være underlagt strenge open source-lisenser.

– I verste fall kan du ende opp med å måtte offentliggjøre hele koden din, dersom du ikke oppfyller de lisenskravene riktig, sier advokaten. 

Risikoen knyttet til input går ut på at man selv lekker kode til AI-verktøyet, som kan være ekstra stor i større selskaper hvor hundrevis av enkeltpersoner potensielt kan ta i bruk personlige brukerprofiler fremfor enterprise-lisensierte profile. 

– I 2023 gikk for eksempel Samsung på en smell ved at flere ansatte brukte ChatGPT ukritisk, noe som førte til at sensitive opplysninger ble lekket, minner Sletner om. 

Krever menneskelig innsats 

Et annet sentralt spørsmål handler om opphavsrett. For hvem er det egentlig som eier koden som produseres av AI-verktøy? 

– Gjennomgående er det enighet om at man må ha menneskelig kreativ innsats for at man skal kunne kreve opphavsrett, sier advokatfullmektig, Maiken Ellingsen. 

Det innebærer at det man gjør i den første inputen, stort sett ikke vil være nok til å kunne kreve opphavsrett på førsteutkastet som kommer ut igjen. 

– Så kan det endre seg hvis man aktivt bearbeider, går nøye gjennom outputen og gjør det mer til sitt eget. Men akkurat hvor grensa går er det uklarhet om per i dag, sier hun. 

– Men for disse vibbecoderne som sier «lag en app til meg», vil det i utgangspunktet ikke være opphavsrettighetsbeskyttelse, supplerer Sletner. 

Ellingsen anbefaler derfor å dokumentere prosessen, for å tydelig skille mellom hva som er menneskelig laget og hva som er AI. 

– Og det kan være lurt å bruke AI-verktøyet mer som et teknisk hjelpemiddel, legger hun til.

Investorene våkner

CLP-advokatene er overrasket over at tematikken ennå ikke er mer på agendaen – ettersom manglende eierskap og kontroll over egen kode kan få fatale konsekvenser. 

– Har man ikke eierskap til teknologien, mangler man «freedom to operate» og risikerer å bli erstatningsansvarlig overfor kunder dersom koden bryter med tredjepartsrettigheter, sier Ellingsen. 

Nettopp derfor begynner problemstillingen også å dukke opp i oppkjøpsprosessene de bistår. 

– Vi ser nå et behov for å se litt annerledes på hvordan man gjør en due diligence, for å identifisere risikoer ved å kjøpe selskapene, sier Sletner. 

Likevel er det foreløpig få konkrete skrekkeksempler å vise til, men Sletner tror at det bare er spørsmål om tid. 

– Det er dessverre typisk at det er konkrete saker som fører til faktiske endringer og mer bevissthet, sier han. 

Ellingsen viser samtidig til en pågående og prinsipiell sak i EU-domstolen, der et ungarsk presseselskap har saksøkt Google fordi selskapets AI-verktøy angivelig har gjengitt artikler ordrett.

Saken kan bli toneangivende for hvordan opphavsretten skal forstås i møte med generativ AI, tror hun. 

næringsliv

Går fra å være en startup-motor til å satse bredere på Oslo-næringslivet

Klare råd

Advokatene er tydelige på hva tech-selskaper bør gjøre nå – før problemene eventuelt oppstår.

– Et veldig viktig startpunkt er retningslinjer for bruk av AI – som inneholder prosess for godkjenning av verktøy, spesifisering av hva slags profiler man kan ha og hvilke prosjekter man kan bruke AI-verktøy på, og så bør man ha definert hvem som har ansvar for å se gjennom koden, sier Sletner.

Han mener AI-bruk ikke kan overlates til den enkelte utvikler alene.

– Man bør ha en forankring på hvilke prosjekter man kan bruke AI-verktøy på. Skal det kun være til testing, eller også i produksjon av koding – som gir større risiko, sier han. 

– Lære opp ansatte til å bruke AI-verktøy kritisk. Det gjelder jo selvfølgelig både rettigheter, men også kvaliteten på det som kommer ut, sier Ellingsen. 

helse

Medipath henter 5,3 millioner for å sende nordmenn ut av helsekøen – får med seg Dr.Dropin på eiersiden