開源維護者被AI垃圾逼到關閘：8.6萬美元懸賞說停就停

GitHub Copilot生成的問題報告，正在變成壓垮開源維護者的最后一根稻草。上個月，三個標志性事件接連發生：Mitchell Hashimoto的Ghostty項目宣布永久封禁AI生成的劣質代碼；tldraw創始人Steve Ruiz直接關閉了所有外部拉取請求；而支撐全球互聯網的cURL工具，在支付8.6萬美元、運行六年后，徹底終止了漏洞懸賞計劃。Daniel Stenberg給出的理由只有一個——AI Slop。

這事的嚴重性在于：開放貢獻的黃金時代可能正在落幕。幾十年來，開源社區靠著一份隱性契約運轉。貢獻者用時間換經驗、換簡歷、換歸屬感；維護者則承諾培育社區、指導新人。這份契約默認了一個前提：寫代碼需要投入，理解代碼庫需要門檻，這個篩選機制本身就能勸退投機者。

AI把這個篩子捅破了。現在任何人都能批量生產"看起來對"的貢獻，不需要理解代碼，不需要付出努力。數量級暴增的垃圾正在淹沒系統。Python軟件基金會安全開發者Seth Larson的警告很直接：獨自應對這一切的維護者，可能在意識到真相之前，就把大量時間浪費在虛假報告上。最終一無所獲，精疲力竭，徹底退出。

先厘清概念。AI Slop不只是爛代碼——開源社區從誕生那天起就在處理低質量貢獻，Linus Torvalds的"怒火郵件"可以追溯到1991年。Slop特指這種操作：把GitHub issue丟進ChatGPT，回車，復制粘貼，不驗證是否有效。漏洞報告描述的是不存在的漏洞；PR修復的是不存在的項目。氛圍編碼生成的補丁看似合理，實則建立在幻覺之上，或者干脆就是垃圾。

Stacklok CEO Craig McLuckie的對比很說明問題。過去標記"新手友好"，年輕工程師會來積累經驗，最終成長為貢獻者，雙贏。現在標記同樣的問題，24小時內就會被低質量氛圍編碼淹沒，審查流程變成"把垃圾轉化成優質代碼"的無效勞動，既損生產力又傷士氣。

社區正在尋找技術解藥。Hashimoto提議類似"git blame"的AI溯源機制；Continue CEO Chad Metcalf則開發了Leeroy工具，專門追蹤AI輔助貢獻的歸屬。

但數字不會說謊。Stenberg從2024年1月就開始抱怨AI生成的漏洞報告，到2025年中，curl懸賞計劃里20%的提交是Slop，真正識別出漏洞的比例跌至5%。2025年5月他加了強制披露勾選框，沒用。2026年1月，十六小時內收到七份提交后，計劃正式死亡。

Hashimoto的態度也經歷了演變。2025年8月要求強制披露，2026年1月底轉向零容忍。他特意澄清：不是反AI，Ghostty本身就是AI輔助編寫的，維護者也天天用AI。"我們要的是高質量貢獻，不管怎么寫出來的。"

Ruiz走得更遠：tldraw現在自動關閉所有外部PR。但他的理由觸及更深層的問題——當AI編碼助手普及，外部貢獻者的代碼還有價值嗎？如果寫代碼變得 trivial，為什么要讓別人來寫？頗具諷刺的是，他自己編寫的Claude Code腳本（用于快速創建和解決問題）正在制造需要他關閉的Slop：敷衍的問題變成敷衍的PR，AI包辦了供需兩端。

這些項目的決絕姿態在開源圈仍屬少數。更多項目選擇觀望。Debian內部反復拉鋸，FluxCD等待CNCF統一立場。這種謹慎有其道理：AI工具生態月新月異，1月的政策6月就可能過時；大型項目的合法性來自共識而非命令，Linux內核的流程變革動輒以年計；多數項目缺乏單一決策者，面對Slop洪流只能隨波逐流。

基金會層面同樣令人失望。Linux基金會聚焦許可兼容性，Apache建議用"Generated-by:"標簽，Eclipse提醒提交者確保準確性，開放基礎設施基金會要求將AI代碼視為"不可信來源"。這些政策共享一個盲區：法律責任是唯一的考量維度。維護者 burnout？質量控制？不在職責范圍內。

少數項目選擇全面禁止。Gentoo Linux在2024年4月徹底封禁AI生成代碼，理由包括版權、質量、倫理（訓練模型的環境影響）。提案者Micha? Górny直言這是"不錯的公關舉措"，當行業癡迷速度與自動化，Gentoo用戶更欣賞"人類比生產力更重要"的老派工程文化。NetBSD跟進，將LLM代碼歸類為"污染"，需核心團隊書面批準方可提交——BSD項目尤其警惕AI復制GPL代碼的惡習。

這些極端選項透露了兩個信號。其一，對部分社區而言，AI代碼的感知風險已超過潛在收益，他們主動選擇信任與溯源，而非吞吐量。其二，合規審查終將淪為象征——隨著AI代碼與人類代碼趨同，檢測將從困難變為不可能。禁令的真正價值或許不在可執行性，而在于宣示：越來越多人不再把AI輔助視為需要管理的必然，而是對協作式軟件開發這一人類事業的根本威脅。

危機還有經濟維度。2025年5月，GitHub上線Copilot生成issue功能，承諾"更快更輕松且不犧牲質量"。維護者們對"質量"二字另有理解。他們很快發現：無法屏蔽Copilot機器人，AI生成的問題不標注來源，以人類用戶名義出現，無法過濾。

開發者Andi McClure的警告代表了一種可能的未來：如果沒有管理工具，被迫采取極端行動，完全關閉issue和PR，遷移到Codeberg等非營利平臺。核心矛盾在于激勵錯位——GitHub靠用戶使用賺錢，AI功能提升粘性指標。FluxCD維護者Stefan Prodan的診斷很尖銳：AI低質量代碼正在對OSS維護者發動分布式拒絕服務攻擊，而平臺沒有阻止的動機，反而有動力夸大AI貢獻以向股東展示"價值"。

Ruiz關閉外部貢獻時明確將政策與GitHub工具掛鉤："臨時政策，直到GitHub提供更好的貢獻管理工具。"這向平臺傳遞的信息很清晰：現有工具可能迫使維護者放棄開放貢獻。GitHub是否理解、是否有動力行動，仍是未知數。它似乎在賭AI功能吸引的用戶多于流失的用戶，賭網絡效應足夠強，威脅遷移的人最終會留下。問題是，AI Slop危機會不會成為真正的轉折點。

Hashimoto在1月的推文總結了維護者的處境："外面簡直是戰場。士氣歷史最低。完全理解那些掀桌子禁止AI的項目。我快要宣布只有維護者和已接受問題才能用AI了。"

給不同角色的建議很樸素。貢獻者：展示工作，以人類身份參與，理解自己提交的內容。Joshua Rogers示范了正確用法——向Stenberg發送AI輔助發現的潛在問題列表，最終修復了五十個真正的bug。維護者：制定清晰政策，公開記錄，不要默默忍受。平臺：建造服務維護者的工具，而非僅關注參與度。基金會：解決質量和疲勞問題，而非僅關注許可。至于那些用Slop填充貢獻圖的人：請住手。

Stenberg終止懸賞計劃時，沒有發長文控訴，只是在博客里平靜地記錄了這個決定。但cURL的issue列表里，那個不再回復新提交的漏洞懸賞標簽，成了AI Slop時代最沉默的注腳。