当刷开源项目 PR 成为一项产业,项目维护者们将遭遇什么?
最近,vLLM 社区的经历让我们看到了一个样本。该社区核心贡献者、关键维护者游凯超在社交媒体发帖称,一个由辅导机构指导的学员提交了一个 PR,但这个 PR 针对的是一个并不存在的问题,却通过 @大量维护者的方式博取关注,借助维护者的善意为学员的简历「镀金」,同时给社区留下了真实的维护负担。
原帖链接:https://zhuanlan.zhihu.com/p/2041684244573971064所幸,社区成员在该 PR 合并、相关帖子发布后迅速识别并举报了这一行为。
这件事的讽刺之处在于,它几乎是一条完整的「产业链」:辅导机构收费,学员提交 PR,维护者免费背书,简历因此增光添彩。唯独开源社区,在这场交易里扮演的是被消耗的角色。
AI Agent 的到来,让问题雪上加霜。
AI 批量制造的低质量 PR
正拖垮开源社区
其实,vLLM 遇到的问题,在整个开源世界正在同步上演。
游戏引擎 Godot 的首席维护者 Rémi Verschelde 在 Bluesky 上坦言,AI 生成的低质量 PR 正变得「令人精疲力竭,令人沮丧」。他的同事 Adriaan de Jongh 描述得更直白:这些 PR 的改动毫无逻辑,描述冗长却空洞,提交者根本看不懂自己的代码 ——「简直一团乱麻」。
那么,提交这些低质量 PR 的人,到底图什么?
第一类:刷简历。
GitHub 的贡献热力图是程序员求职时最直观的「资历证明」之一。向 vLLM、PyTorch、Linux 这类知名项目提交过 PR,在简历上写一句「Contributor to vLLM」看起来很有分量。AI 工具的出现,让批量生成这类「贡献」的成本趋近于零。
游凯超帖子评论区讨论。第二类:薅赏金。
漏洞赏金(Bug Bounty)计划按有效报告付钱,比如著名的开源数据传输程序 cURL 的 HackerOne 悬赏计划对严重问题提供高达 10000 美元的奖励。过去,发现一个真实漏洞需要深入阅读代码、理解系统架构,门槛极高。现在,用 AI 向数十个项目批量生成「看起来合理」的漏洞报告,只要有一两个被判为有效,收益就是正的。
当然,并非所有人都怀有恶意。有些开发者真心想帮忙,让 AI 分析了项目代码并生成了一个 PR,然后不加审查地直接提交。他们不理解那段代码,也没有能力判断 AI 的修改是否正确。这类「善意的垃圾」,同样会消耗维护者大量精力。
这些情形背后隐藏着一个根本问题:AI 消灭了「贡献」的成本,却没有消灭「审查」的成本。 在过去,阅读代码库、理解逻辑、写出可用的改动,本身就是一道天然的质量门槛。AI 绕过了这道门槛,把压力全部转移到了维护者身上。而维护者,往往是不拿薪水的志愿者。
如果任由这种情况发展下去,开源社区将无以为继,所以很多开源社区正在采取措施应对这种情况。
其中,vLLM 采取了惩罚(封禁相关贡献者)+ 流程优化(建立可验证公司 / 大学邮箱 + 真实用例的优先审查通道)的组合措施。
cURL 维护者 Daniel Stenberg 不仅关掉了运行六年多的悬赏项目,还自己在 PR 审查中部署了三个不同的 AI review bot,让它们凌晨两点自动跑,抓人类审不到的问题。
tldraw 的做法则更激进,直接宣布了一项临时政策:自动关闭所有外部贡献者的 Pull Request。也就是说,unsolicited(未经邀请的)代码提交,默认不再进入审查流程,只有被团队主动挑中的才会重新打开。
这本质上是在逼开源社区往「Know Your Contributor」的方向走 —— 必须知道你是谁、为什么贡献,才能高效处理。
锅,也有 GitHub 的一份
这场危机中,GitHub 的角色颇为尴尬。
一方面,GitHub 是 AI 工具最积极的推广者之一,Copilot 深度嵌入其产品;另一方面,正是 GitHub 的产品设计,让「低质量 AI PR」如此泛滥。
有开发者直接指出:「这个平台在激励这种行为。」Copilot 自动生成的 Bug 报告,甚至以提交者本人名义发出,不注明任何 AI 参与的痕迹 —— 维护者根本无从区分。
Linux 发行版 Gentoo 甚至开始将仓库从 GitHub 迁往 Codeberg,理由之一正是对平台强推 AI 工具的不满。
面对社区压力,GitHub 工程师在博客中承认了「大规模低质量贡献」的问题,但措辞极为谨慎,刻意回避将矛头指向 AI 本身。他们承诺陆续推出应对工具,包括:从界面直接删除 PR 的功能、限制外部贡献者权限、以及「准入门槛」机制(比如要求 PR 必须关联已有 Issue)。
与此同时,已有独立开发者行动:一款名为 Anti Slop GitHub Action 的工具宣称能自动识别并关闭 98% 的垃圾 PR;另一款 PR Slop Stopper 则通过分析提交者的 GitHub 历史、账号年龄、贡献成功率等维度,给每个 PR 打出一个「可信度评分」。
开源社区得以运转,依赖的是一种隐性的信任契约:贡献者带着真实的问题而来,维护者以善意回应。当这种善意被系统性地利用,整个生态的信任基础就会悄然松动。
对于那些希望通过捷径在开源项目中「镀金」的人来说,或许更值得思考的问题是:当维护者的信任被透支殆尽,这张简历上的名字,究竟还值几分?
]article_adlist–>
<!-- 非定向300*250按钮 17/09 wenjing begin --> <!-- 非定向300*250按钮 end -->
</div>
