Ai sở hữu mã nguồn do AI viết? Những rủi ro pháp lý khi sử dụng Claude Code và Copilot

Nếu bạn đã đẩy code (deploy) lên sản phẩm trong tuần này, khả năng cao một phần trong số đó do AI viết. Nhưng câu hỏi về việc ai thực sự sở hữu mã nguồn đó về mặt pháp lý vẫn còn nhiều tranh cãi hơn so với những gì đa số lập trình viên vẫn nghĩ.

Mã nguồn và pháp lý

Câu trả lời phụ thuộc vào ba yếu tố chính không liên quan gì đến chất lượng code: liệu con người có đưa ra đủ quyết định sáng tạo để thiết lập bản quyền hay không, hợp đồng lao động của bạn quy định thế nào về sản phẩm làm việc có sự hỗ trợ của AI, và liệu mô hình AI có vô tình "lấy" dữ liệu từ các nguồn có giấy phép GPL hay không.

Quy tắc bản quyền mà ít ai nói cho bạn biết

Dưới đây là cơ sở pháp lý cơ bản: bản quyền chỉ bảo vệ các tác phẩm do con người tạo ra. Văn phòng Bản quyền Hoa Kỳ (US Copyright Office) đã xác nhận điều này vào năm 2025, và Tòa án Tối cao đã từ chối xem xét lại vào năm 2026. Các tác phẩm được tạo ra chủ yếu bởi AI mà không có sự đóng góp có ý nghĩa của con người sẽ không đủ điều kiện để được bảo hộ bản quyền.

Điều này có nghĩa với bạn: Code mà Claude Code hay Cursor tạo ra và bạn chấp nhận ngay lập tức mà không sửa đổi đáng kể có thể không thể được đăng ký bản quyền bởi bất kỳ ai. Nếu đối thủ cạnh tranh sao chép nó, bạn có thể không có cơ sở pháp lý để kiện, vì mã nguồn đó thực chất đang ở trong phạm vi công cộng.

Cụm từ quyết định xem code của bạn có được bảo vệ hay không là "sự tác giả có ý nghĩa của con người" (meaningful human authorship). Văn phòng Bản quyền từ chối định nghĩa điều này bằng một con số phần trăm hay số lượng chỉnh sửa, vì tòa án tìm kiếm bằng chứng cho thấy con người đã đưa ra các quyết định sáng tạo thực sự: lựa chọn kiến trúc, quyết định loại bỏ gì, tái cấu trúc đầu ra để phù hợp với thiết kế cụ thể. Chỉ đơn thuần đưa ra mục tiêu cho mô hình AI là chưa đủ; việc chỉ đạo cách công việc được xây dựng mới là yếu tố then chốt.

Lập trình với AI

Trong một quy trình làm việc với AI (agentic workflow), sự phân biệt này khó xác lập hơn bạn nghĩ. Hãy xem xét một phiên làm việc điển hình với Claude Code:

• Bạn viết một dòng lệnh: "xây dựng một module giới hạn tốc độ cho API".
• Claude Code lên kế hoạch, tạo ra năm tệp tin và lặp lại qua ba phiên bản.
• Bạn xem xét đầu ra, chạy kiểm thử và hợp nhất (merge).

Đóng góp của bạn trong chuỗi này là ý định kiến trúc và sự chấp thuận cuối cùng. Liệu điều đó cấu thành "sự tác giả có ý nghĩa của con người" trước tòa án hay không vẫn là một câu hỏi chưa có lời giải. Câu trả lời trung thực là: có thể là "có" đối với các module bạn điều hướng đáng kể, "không" đối với code bạn chấp nhận nguyên văn, và "không rõ ràng" với mọi thứ nằm ở giữa.

Người sử dụng lao động thực sự sở hữu gì?

Trước khi lo lắng xem code của bạn có được bảo hộ bản quyền hay không, có một câu hỏi cấp thiết hơn: ngay cả khi có, liệu nó thực sự thuộc về bạn?

Hợp đồng lao động của bạn gần như chắc chắn quy định rằng bất cứ thứ gì bạn xây dựng tại nơi làm việc đều thuộc về công ty. Nguyên tắc này trong luật bản quyền được gọi là "work-for-hire" (sản phẩm làm theo nhiệm vụ). Theo đó, bất kỳ mã nguồn nào được tạo ra bởi nhân viên trong phạm vi công việc của họ đều thuộc về chủ sử dụng lao động, người được coi là tác giả pháp lý, bất kể code đó được viết tay, tạo bởi Claude Code hay sự kết hợp của cả hai. Việc sử dụng công cụ lập trình AI trong giờ làm việc, cho dự án công việc, trên máy tính công ty không làm thay đổi người sở hữu kết quả.

Hầu hết các hợp đồng lao động còn đi xa hơn mặc định của nguyên tắc này. Hãy tìm mục "Sở hữu trí tuệ" (Intellectual Property), "Chuyển nhượng IP" (IP Assignment) hoặc "Sản phẩm làm việc" (Work Product) trong hợp đồng của bạn. Một điều khoản nói rằng "bất kỳ sản phẩm phần mềm nào được tạo ra với sự trợ giúp của các công cụ được cấp phép bởi công ty" gần như chắc chắn bao trùm cả code của bạn có sự hỗ trợ của AI.

Đây là điểm mấu chốt cần lưu ý. Nếu công ty của bạn cấp phép Claude Code, Cursor hay Copilot cho đội ngũ, và bạn sử dụng cùng công cụ đó để xây dựng một dự án phụ (side project), một điều khoản chuyển nhượng IP rộng có thể cho công ty quyền đòi hỏi dự án đó, ngay cả khi bạn xây dựng nó vào thời gian cá nhân.

Quy tắc thực tế là: nếu bạn đang xây dựng một cái gì đó bên lề, hãy sử dụng tài khoản cá nhân, máy cá nhân và các công cụ bạn tự trả tiền. Hãy giữ các công cụ được cấp phép bởi công ty hoàn toàn ngoài quy trình làm việc đó.

Vấn đề ô nhiễm giấy phép nguồn mở

Ngay cả khi bạn sở hữu mã nguồn do AI tạo ra, bạn có thể đã vô tình làm ô nhiễm nó bằng một giấy phép nguồn mở mà bạn không nhìn thấy.

Các công cụ lập trình AI được đào tạo trên lượng mã nguồn công cộng khổng lồ, bao gồm cả code được cấp phép theo GPL, LGPL và các giấy phép copyleft khác. Giấy phép copyleft mang lại một nghĩa vụ cụ thể đi kèm với code: nếu bạn phân phối phần mềm là một phái sinh của code được cấp phép GPL, bạn phải phát hành mã nguồn của chính bạn dưới cùng giấy phép đó.

Điều này áp dụng ngay cả khi bạn không biết code bạn đưa vào có được cấp phép GPL hay không. Câu nói "Tôi không biết" không phải là một sự bào chữa cho vi phạm copyleft.

Quét giấy phép nguồn mở

Khi một công cụ AI tạo ra code giống hệt hoặc tương tự cao với code được cấp phép GPL từ dữ liệu đào tạo của nó, và bạn đưa code đó vào một sản phẩm thương mại mà không phát hành nguồn, bạn có thể đã tạo ra một vi phạm copyleft mà chưa từng chạm vào kho lưu trữ gốc (repository) gốc.

Vụ tranh chấp về thư viện chardet vào đầu năm 2026 đã làm rõ vấn đề này. Một nhà phát triển đã sử dụng Claude để viết lại thư viện chardet (một thư viện mã hóa ký tự Python) và phát hành lại dưới giấy phép MIT, lập luận rằng bản viết lại của AI là một triển khai "sạch" (clean room) và miễn phí với giấy phép LGPL gốc. Cộng đồng đã tranh luận về vấn đề pháp lý: nếu Claude được đào tạo trên cơ sở mã nguồn cấp phép LGPL và đầu ra của nó phản ánh các khuôn mẫu học được từ code đó, liệu đầu ra đó có thể được coi là miễn phí giấy phép? Đồng thuận pháp lý đang hình thành là có thể không, và việc giả định rằng nó có thể tạo ra trách nhiệm pháp lý đáng kể cho bất kỳ ai phân phối code đó thương mại.

Bạn nên làm gì với tất cả vấn đề này?

Dưới đây là bốn hành động cụ thể, không cần đến luật sư.

1. Chạy quét giấy phép trên cơ sở mã nguồn có hỗ trợ của AI

Các công cụ làm tốt việc này bao gồm FOSSA, Snyk Open Source và Black Duck. Mỗi công cụ sẽ quét cơ sở mã nguồn của bạn, đánh dấu code khớp với các thư viện nguồn mở đã biết và xác định các giấy phép đính kèm. Nếu bạn đang tung ra một sản phẩm thương mại và chưa bao giờ chạy một trong số này, bạn đang hoạt động dựa trên giả định. Việc quét mất một buổi chiều và tốn ít chi phí hơn giờ đầu tiên của một tranh chấp bản quyền.

2. Tài liệu hóa các đóng góp sáng tạo của con người khi bạn tiến hành

Bằng chứng thiết lập sự tác giả có ý nghĩa của con người giống hệt bằng chứng bạn đã tạo ra trong quy trình kỹ thuật bình thường. Bạn chỉ cần giữ lại một cách có chủ đích thay vì để nó biến mất.

Những gì cần bảo quản:

• Thông điệp commit (commit messages) mô tả những gì bạn đã thay đổi và tại sao, không chỉ những gì AI tạo ra. Ví dụ: "Tái cấu trúc kiến trúc module của Claude, từ chối cách tiếp cận quản lý trạng thái ban đầu, viết lại xử lý lỗi từ đầu" là bằng chứng. "Thêm module giới hạn tốc độ" thì không.
• Nhật ký lệnh (Prompt logs). Cả Claude Code và Cursor đều giữ lại lịch sử tương tác. Hãy xuất hoặc chụp màn hình các phiên mà bạn đưa ra các quyết định kiến trúc quan trọng.
• Tài liệu thiết kế, ADRs hoặc bất kỳ ghi chú nào tồn tại trước mã được tạo ra và cho thấy bạn đã chỉ định cấu trúc trước khi AI xây dựng nó.

3. Đọc điều khoản IP trong hợp đồng lao động trước khi xây dựng bất cứ thứ gì bên lề

Hãy mở hợp đồng, tìm kiếm "sở hữu trí tuệ", "chuyển nhượng IP" hoặc "sản phẩm làm việc", và đọc kỹ phần đó. Ngôn ngữ cụ thể sẽ xác định mức độ rủi ro của bạn:

• "Sản phẩm làm việc được tạo ra trong giờ làm việc" hẹp hơn "sản phẩm làm việc được tạo ra bằng cách sử dụng tài nguyên của công ty".
• "Liên quan đến kinh doanh của công ty" hẹp hơn "bất kỳ phát triển phần mềm nào".
• "Công cụ được cấp phép bởi công ty" là cụm từ bắt lấy các công cụ lập trình AI ngay cả trên các dự án cá nhân.

4. Kiểm tra gói Anthropic bạn đang sử dụng trước khi phân phối thương mại

Hãy truy cập trang pháp lý của Anthropic và so sánh các điều khoản người dùng (consumer terms) với các điều khoản thương mại (commercial terms). Sự khác biệt quan trọng nằm ở việc bồi thường (indemnification). Nếu bạn đang phân phối code có hỗ trợ AI trong một sản phẩm thương mại bằng gói miễn phí hoặc Pro, khoảng trống bồi thường là có thật. Thỏa thuận API hoặc doanh nghiệp mới là cấp phù hợp.

Lưu ý rằng không có sự bồi thường nào bao gồm vi phạm GPL hạ nguồn từ ô nhiễm giấy phép trong cơ sở mã nguồn của bạn. Đó là vấn đề quản trị của bạn để giải quyết với việc quét giấy phép ở hành động 1.

Kết luận

Kỹ sư trưởng của Anthropic từng công khai stated rằng các đóng góp gần đây của ông ấy cho Claude Code được viết hoàn toàn bởi AI, và cơ sở mã nguồn bị rò rỉ mà Anthropic đã phát hành 8.000 yêu cầu gỡ bỏ DMCA để ngăn chặn có thể chủ yếu do AI viết. Liệu các tuyên bố bản quyền của Anthropic đối với cơ sở mã nguồn đó có hợp lệ về mặt pháp lý hay không vẫn là một câu hỏi mở mà tòa án chưa giải quyết.

Nếu chính công ty tạo ra công cụ không thể khẳng định rõ ràng bản quyền đối với code của chính họ có sự hỗ trợ của AI, thì câu hỏi liệu bạn có thể làm được như vậy hay không là đáng để cân nhắc nghiêm túc trước khi nó trở nên liên quan trong một giao dịch, tranh chấp hoặc đàm phán mua lại. Nhà phát triển tài liệu hóa các đóng góp sáng tạo của mình ngay từ đầu sẽ ở một vị thế pháp lý khác biệt đáng kể so với người chấp nhận ba nghìn dòng đầu ra của Claude và hợp nhất mà không xem xét, ngay cả khi cả hai đều tung ra cùng một sản phẩm.