当提交PR(Pull Request)变成一门生意,开源项目的维护者们正承受着怎样的冲击?
最近,vLLM社区的经历提供了一个鲜活的案例。该项目的核心贡献者兼关键维护者游凯超在社交平台发文指出,一家辅导机构指导学员提交了一个PR,而这个PR针对的其实是一个根本不存在的问题。学员通过@大量维护者的方式强行博取关注,试图借用维护者的善意来为自己的简历“镀金”,却给社区留下了实实在在的维护负担。
原帖链接:https://zhuanlan.zhihu.com/p/2041684244573971064
幸运的是,社区成员在该PR合并以及相关帖子发布后,迅速识别并举报了这种行为。
这件事的讽刺之处在于,它几乎构成了一条完整的“产业链”:辅导机构收费,学员提交PR,维护者免费背书,简历因此增光添彩。唯独开源社区,在这场交易中扮演着被消耗的角色。
而AI Agent的加入,更是让问题雪上加霜。
AI批量制造的低质量PR,正在拖垮开源社区
事实上,vLLM所遭遇的困境,在整个开源世界中正在同步上演。
游戏引擎Godot的首席维护者Rémi Verschelde在Bluesky上坦言,AI生成的低质量PR正变得“令人精疲力竭,令人沮丧”。他的同事Adriaan de Jongh描述得更为直白:这些PR的改动毫无逻辑,描述冗长却空洞,提交者根本看不懂自己的代码——“简直一团乱麻”。
那么,提交这些低质量PR的人,究竟图什么呢?
第一类:刷简历。
GitHub的贡献热力图是程序员求职时最直观的“资历证明”之一。向vLLM、PyTorch、Linux这类知名项目提交过PR,在简历上写一句“Contributor to vLLM”看起来很有分量。AI工具的出现,让批量生成这类“贡献”的成本趋近于零。
游凯超帖子评论区讨论。
第二类:薅赏金。
漏洞赏金(Bug Bounty)计划按有效报告付钱,比如著名的开源数据传输程序cURL的HackerOne悬赏计划,对严重问题提供高达10000美元的奖励。过去,发现一个真实漏洞需要深入阅读代码、理解系统架构,门槛极高。现在,用AI向数十个项目批量生成“看起来合理”的漏洞报告,只要有一两个被判为有效,收益就是正的。
当然,并非所有人都怀有恶意。有些开发者真心想帮忙,让AI分析了项目代码并生成了一个PR,然后不加审查地直接提交。他们不理解那段代码,也没有能力判断AI的修改是否正确。这类“善意的垃圾”,同样会消耗维护者大量精力。
这些情形背后隐藏着一个根本问题:AI消灭了“贡献”的成本,却没有消灭“审查”的成本。 在过去,阅读代码库、理解逻辑、写出可用的改动,本身就是一道天然的质量门槛。AI绕过了这道门槛,把压力全部转移到了维护者身上。而维护者,往往是不拿薪水的志愿者。
如果任由这种情况发展下去,开源社区将无以为继,因此许多开源社区正在采取措施应对。
其中,vLLM采取了惩罚(封禁相关贡献者)+ 流程优化(建立可验证公司/大学邮箱 + 真实用例的优先审查通道)的组合措施。
cURL维护者Daniel Stenberg不仅关掉了运行六年多的悬赏项目,还在PR审查中部署了三个不同的AI review bot,让它们凌晨两点自动运行,捕捉人类审不到的问题。
tldraw的做法则更激进,直接宣布了一项临时政策:自动关闭所有外部贡献者的Pull Request。也就是说,未经邀请的代码提交,默认不再进入审查流程,只有被团队主动挑中的才会重新打开。
这本质上是在逼开源社区往“Know Your Contributor”的方向走——必须知道你是谁、为什么贡献,才能高效处理。
锅,也有GitHub的一份
在这场危机中,GitHub的角色颇为尴尬。
一方面,GitHub是AI工具最积极的推广者之一,Copilot深度嵌入其产品;另一方面,正是GitHub的产品设计,让“低质量AI PR”如此泛滥。
有开发者直接指出:“这个平台在激励这种行为。”Copilot自动生成的Bug报告,甚至以提交者本人名义发出,不注明任何AI参与的痕迹——维护者根本无从区分。
Linux发行版Gentoo甚至开始将仓库从GitHub迁往Codeberg,理由之一正是对平台强推AI工具的不满。
面对社区压力,GitHub工程师在博客中承认了“大规模低质量贡献”的问题,但措辞极为谨慎,刻意回避将矛头指向AI本身。他们承诺陆续推出应对工具,包括:从界面直接删除PR的功能、限制外部贡献者权限、以及“准入门槛”机制(比如要求PR必须关联已有Issue)。
与此同时,已有独立开发者行动:一款名为Anti Slop GitHub Action的工具宣称能自动识别并关闭98%的垃圾PR;另一款PR Slop Stopper则通过分析提交者的GitHub历史、账号年龄、贡献成功率等维度,给每个PR打出一个“可信度评分”。
开源社区得以运转,依赖的是一种隐性的信任契约:贡献者带着真实的问题而来,维护者以善意回应。当这种善意被系统性地利用,整个生态的信任基础就会悄然松动。
对于那些希望通过捷径在开源项目中“镀金”的人来说,或许更值得思考的问题是:当维护者的信任被透支殆尽,这张简历上的名字,究竟还值几分?
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/36227
