開源維護者需要為AI勞動設置垃圾郵件過濾器

AI工具的普及正在改變開源社區的協作模式，但這種改變並不完全是積極的。大量由AI生成的bug報告、拉取請求（PR）和安全漏洞披露正以極低的成本湧入開源項目，而維護者卻需要花費大量時間和精力去甄別其真實性。

curl項目的創始人Daniel Stenberg詳細描述了這一現象。在AI生成內容（AI-slop）大規模出現之前，curl的漏洞獎勵計劃在約五年半內收到了477份提交，其中約15.4%被確認為真實漏洞。但到了2025年中期，情況發生了逆轉：約20%的提交疑似由AI生成，項目每週收到約2份安全報告，其中只有5%是真實漏洞。Stenberg指出，每份報告需要3到4名安全團隊成員花費30分鐘到3小時（即總計1.5到12維護者工時）才能駁回。這種耗時巨大的審查過程最終導致curl在2026年初終止了漏洞獎勵計劃。

類似的問題也出現在拉取請求上。2026年初，tldraw項目開始自動關閉外部貢獻者的PR，原因是AI生成的PR數量激增。這些PR雖然看似合理，但往往忽略了貢獻模板、未完成貢獻者許可協議步驟，並且對項目設計缺乏理解，一旦被追問就停滯不前。tldraw的Steve Ruiz在文章中強調，AI雖然能快速生成代碼，但閲讀和審查代碼仍然困難，維護者不應為幾乎沒有貢獻且無法捍衞變更的提交承擔負擔。

這些案例凸顯了一個核心矛盾：AI降低了生成提交的成本，但審查成本並未減少。維護者需要更嚴格的接收規則來保護自己的時間。文章提出的建議包括：要求提交者披露AI輔助情況，設定賬户年齡和速率限制，對AI生成內容進行標記，以及要求提交者提供復現步驟、測試和設計決策解釋。只有理解工作內容並能回答問題的提交才應被接受。

然而，AI並非全然是負擔。Stenberg後來也提到，AI驅動的分析工具（如AISLE、ZeroPath和Codex Security）已經發現了許多bug並確認了多個CVE。AI的PR審查機器人也幫助improve了curl的代碼質量。問題在於不當的激勵機制和缺乏驗證的提交。

開源許可證和公共託管並不意味着維護者必須提供無限的審核服務。文章最後強調，當生成和提交幾乎免費時，開放性需要過濾機制才能保持可用。AI本身是強大的，但需要證據、上下文和問責制來引導其建設性使用。無過濾的AI勞動只會讓最重要的貢獻淹沒在低效的努力中。