开源维护者需要为AI劳动设置垃圾邮件过滤器

AI工具的普及正在改变开源社区的协作模式，但这种改变并不完全是积极的。大量由AI生成的bug报告、拉取请求（PR）和安全漏洞披露正以极低的成本涌入开源项目，而维护者却需要花费大量时间和精力去甄别其真实性。

curl项目的创始人Daniel Stenberg详细描述了这一现象。在AI生成内容（AI-slop）大规模出现之前，curl的漏洞奖励计划在约五年半内收到了477份提交，其中约15.4%被确认为真实漏洞。但到了2025年中期，情况发生了逆转：约20%的提交疑似由AI生成，项目每周收到约2份安全报告，其中只有5%是真实漏洞。Stenberg指出，每份报告需要3到4名安全团队成员花费30分钟到3小时（即总计1.5到12维护者工时）才能驳回。这种耗时巨大的审查过程最终导致curl在2026年初终止了漏洞奖励计划。

类似的问题也出现在拉取请求上。2026年初，tldraw项目开始自动关闭外部贡献者的PR，原因是AI生成的PR数量激增。这些PR虽然看似合理，但往往忽略了贡献模板、未完成贡献者许可协议步骤，并且对项目设计缺乏理解，一旦被追问就停滞不前。tldraw的Steve Ruiz在文章中强调，AI虽然能快速生成代码，但阅读和审查代码仍然困难，维护者不应为几乎没有贡献且无法捍卫变更的提交承担负担。

这些案例凸显了一个核心矛盾：AI降低了生成提交的成本，但审查成本并未减少。维护者需要更严格的接收规则来保护自己的时间。文章提出的建议包括：要求提交者披露AI辅助情况，设定账户年龄和速率限制，对AI生成内容进行标记，以及要求提交者提供复现步骤、测试和设计决策解释。只有理解工作内容并能回答问题的提交才应被接受。

然而，AI并非全然是负担。Stenberg后来也提到，AI驱动的分析工具（如AISLE、ZeroPath和Codex Security）已经发现了许多bug并确认了多个CVE。AI的PR审查机器人也帮助improve了curl的代码质量。问题在于不当的激励机制和缺乏验证的提交。

开源许可证和公共托管并不意味着维护者必须提供无限的审核服务。文章最后强调，当生成和提交几乎免费时，开放性需要过滤机制才能保持可用。AI本身是强大的，但需要证据、上下文和问责制来引导其建设性使用。无过滤的AI劳动只会让最重要的贡献淹没在低效的努力中。