上周末我打开GitHub,看到一条推文:Archestra项目团队决定用git --author白名单来对抗AI垃圾PR。说实话,我第一反应不是"好思路",而是"卧槽,已经到这步了?"
一句话结论:AI正在以远超人类清理速度的频率制造开源垃圾,维护者被迫花大量时间处理无效贡献,开源协作的社会契约正在被撕碎。
我见过这种崩溃
我之前参与过几个开源项目的维护工作,不算重度贡献者,但也体会过review PR的痛苦。一个正常的周末,打开GitHub,十几个待处理的PR,其中七八个格式不对、测试没跑、明显没读CONTRIBUTING.md------还得一个个写回复,"你好,谢谢你的贡献,但是......"
每个回复三分钟,七八个就是半小时。这还是在AI slop出现之前。
现在呢?Archestra团队说他们每周花半天清理AI垃圾PR。半天。一个本该用来写代码、做架构设计、推进项目的半天,全浪费在关机器人的垃圾上。
发生了什么
最近开源社区有两个标志性事件,把AI slop问题推到了台面上。
事件一:Archestra的反击
Archestra是一个企业级MCP平台的开源项目。据HN讨论,他们的仓库被AI机器人垃圾PR和Issue淹没------一个关于x.ai支持的Issue,收到了27个PR,大多数连测试都没跑过。27个。维护者要逐个打开、逐个review、逐个写回复,然后关掉。
团队先搞了"London-Cat"信誉机器人来评估贡献者质量,又上了个"AI sheriff"来自动识别和拦截AI slop。结果AI sheriff自己翻车了------误杀了真人的PR。用一个AI对抗另一个AI制造的问题,伤害的却是真正的人类贡献者。讽刺得像黑色喜剧。
最终方案:新贡献者必须完成onboarding流程,通过CAPTCHA验证,项目启用git --author白名单------只有经过验证的作者才能提交代码。简单粗暴,但有效。
这是首批大规模公开反击AI slop的案例之一,标志性的。
事件二:Linus怒了
就在上周,据多家科技媒体报道,Linus Torvalds发布Linux 7.1 RC4时公开警告AI工具滥用。大量由AI辅助生成的重复bug报告正在严重堵塞Linux内核的安全呈报通道,安全列表"几乎完全无法管理"。
Linus的核心观点很清楚:AI工具发现了bug,好。但一个人用AI扫描出某个问题,大概率其他几十个人也用同样的工具扫出了同样的问题,然后一窝蜂提交。维护者不得不一遍遍回复"这个问题一周前就修了",附上链接。时间全耗在重复转发和关重复报告上。
他不是反对用AI,说得很明白:用AI发现bug可以,但提交时必须附带具体的修复方案,别光抛问题。
GitHub在干嘛?
这可能是最让人寒心的部分。
一边是维护者被AI垃圾搞得精疲力竭,另一边GitHub在干嘛?2025年5月,他们推出了用Copilot自动生成Issue的功能------你描述一下问题,AI帮你生成格式漂亮的Bug报告,然后直接提交。GitHub承诺这会"更快更轻松且不会牺牲质量"。
维护者们问能不能屏蔽Copilot生成的Issue。GitHub的回复:没有办法。你不能过滤,因为这些Issue出现在人类用户名下,没有任何标记表明是AI生成的。
更讽刺的是,GitHub在宣传"AI带来了大量贡献"的增长数据,社区直接嘲讽------数量上去了,质量呢?这不是贡献,这是污染。GitHub的"prior contributor"设置也分不清AI机器人和新的人类贡献者,等于给垃圾贡献者开了后门。
FluxCD核心维护者Stefan Prodan说了句大实话:AI生成的低质量代码正在对开源维护者进行DDoS攻击,而托管开源项目的平台没有动机去阻止这种行为。相反,他们有动力夸大AI贡献数据,向股东展示"价值"。
被撕碎的社会契约
InfoQ今年3月发了篇深度文章,里面有个观点特别精准:开源协作的本质是一份社会契约。贡献者通过参与获得学习机会、丰富简历、成为更大社区的一部分;维护者承诺培育社区、指导项目和贡献者。双方都预见到会有糟糕的PR,但历史上,糟糕的PR是有成本的------写代码需要时间,理解代码库需要精力,贡献行为本身筛掉了不认真的人。
AI破坏了这个筛选器。
现在任何人都可以零成本生成看似合理的贡献。不需要理解代码,不需要花时间。这些人图的什么?简历上的绿色方块?bounty赏金?还是单纯觉得用AI给开源提PR很酷?无论哪种,成本都是维护者在承担。
据InfoQ报道,cURL的Daniel Stenberg终止了运行六年的漏洞悬赏计划------连续收到大量AI slop报告后,有效率从正常水平显著下降到只有5%能识别出真正的漏洞。Ghostty项目实施零容忍政策,AI生成的垃圾代码直接永久封禁。tldraw更绝,创始人Steve Ruiz宣布自动关闭所有外部PR。
Ruiz说了句特别扎心的话:在一个AI编码助手的世界里,外部贡献者的代码真的有价值吗?如果写代码变成了一项简单的工作,我为什么要让别人来写呢?
也有人做对了
不是所有AI参与开源的故事都这么灰暗。有个叫Joshua Rogers的安全研究者,他用AI辅助工具发现了大量潜在问题,但他没有无脑提交------而是整理了一份详尽的清单发给cURL团队,附上自己的分析和筛选。结果:50个真实的bug得到了修复。
这才是AI辅助开源贡献该有的样子。AI是工具,你得用脑子驾驭它,而不是让AI替你完成整个过程然后把垃圾丢给别人。
连锁反应还在恶化
更可怕的是,问题在加速。
LiteLLM仓库据报道遭遇过攻击者用AI机器人引导对话方向------不只是垃圾PR,还涉及恶意操控。AI slop不只是效率问题,还可能成为安全向量。
Stacklok联合创始人Craig McLuckie说得很直白:过去标记"新手友好问题",充满干劲的年轻工程师来解决问题、积累经验、成长为社区贡献者。现在标记一个"新手友好问题",24小时内就被低质量的氛围编码垃圾淹没。人才培养通道被堵死了。
Python软件基金会的Seth Larson担心那些独自处理问题的维护者------不知道AI报告越来越常见,把大量时间浪费在虚假报告上,然后精疲力竭,远离安全工作。
我的判断
不危言耸听,但事实摆在这:
开源生态正在被AI slop窒息,目前的应对手段------不管是 git --author白名单、CAPTCHA、还是AI检测AI------都只是治标不治本的权宜之计。
从维护者视角看,AI制造垃圾的速度远超人类清理的速度,这是不对等的战争。一个人review一个PR平均3-5分钟,AI生成一个PR只要几秒。一个Issue引来27个垃圾PR,数学就不成立了。
从平台视角看,GitHub作为开源基础设施,它的激励和维护者的激励根本不一致。GitHub要的是用户活跃度、贡献数量、向股东展示AI价值。维护者要的是高质量贡献和不被浪费的时间。这个矛盾短期内看不到解法。
从长期看,AI模型继续进化,Slop和人类代码越来越难区分,现在基于检测的防线都会失效。真正需要的是平台层面的基础设施变革------AI贡献的标记机制、维护者对AI贡献的精细化控制权限、贡献者身份验证体系。
行动建议
给维护者:
- 现在就建防线:别等被淹没。在CONTRIBUTING.md里写明AI政策,设新贡献者onboarding流程,上最低限度的自动化过滤。
- 用git --author白名单:Archestra的方案不完美但实用,先保证核心贡献通道干净。
- 公开立场:像Ghostty和cURL那样,明确告诉社区你对AI贡献的态度。沉默会被AI slop利用。
- 联合发声:单个项目太脆弱了。更多维护者需要集体向GitHub施压,要求提供AI贡献的过滤和标记工具。
给贡献者:
- 展示你的工作:用AI没问题,但要展示你理解了提交的内容,附带分析过程。
- 别无脑提交:用AI发现bug,先搜一下是不是已经有人提交了。附带修复方案比光抛问题有价值100倍。
- 尊重维护者的时间:他们大多是志愿者。你的每个垃圾PR都在消耗他们的热情和精力。
给平台方(说的就是GitHub):
别光顾着吹AI增长数据了。你的维护者正在精疲力竭。给他们工具,让他们能过滤AI slop、标记AI生成内容、控制自己的仓库。不然,你引以为傲的开源生态会被你自己推的AI功能搞垮。
ers用AI正确贡献的流程示意图,与AI slop贡献的对比。用途:给出正确方向,不只是抱怨。