在人工智能辅助的软件开发中,技术从简单的代码补全发展到能够规划更改、编辑文件和在有限人类监督下提交拉取请求的智能体。然而,开源软件的演变是基于人类参与的过程:贡献者协议、行为准则和审查规范都假设有法律责任的人可以证明来源并回答审查者的问题。自主和半自主的AI贡献者对这些假设造成了压力,2025-2026年期间的智能体驱动事件、AI生成的干扰量及平台级关闭的记录表明,这一差距在操作上是重要的。若干开源组织已采用贡献政策来应对这一挑战,但结果却呈现出碎片化,并且与新兴AI治理框架(如欧盟AI法案、NIST AI RMF与UC Berkeley Agentic AI Profile、ISO/IEC 42001和23894)的对齐在贡献层面尚未明确。
我们对六个组织(SymPy、LLVM、matplotlib、OpenInfra、Apache软件基金会和Linux基金会)的政策进行了比较,采用最相似系统设计,结合指示器编码和过程追踪对SymPy和LLVM进行分析。由此我们推导出一个六维分类法(披露、责任、人类监督、许可、执行、维护者工作量),一个序数政策成熟度评分,以及将记录的智能体事件映射到每项政策未能治理的维度上。将这些维度与上述监管框架对齐,识别出双方当前未能填补的重叠差距,最后我们勾勒出一个协调的分层框架及其所需的实证评估方法。
博主点评: 本文深刻探讨了AI在开源软件开发中的角色及其带来的治理挑战,尤其是在法律责任和政策对齐方面。面对技术的迅猛发展,开源社区需要构建更为灵活和有效的治理框架,以确保AI贡献者的合规性与透明度。