Проект браузера Ladybird объявил, что больше не будет принимать публичные pull request’ы и ограничит изменения теми, что вносятся его мейнтейнерами, пока идет работа над первым альфа-релизом.
По словам создателя Ladybird Андреаса Клинга, это «решение, принятое не без сожаления», но стремительное развитие возможностей ИИ вынудило их пойти на этот шаг. Ранее большой PR подразумевал, что человек, стоящий за ним, вложил много усилий в код и готов «отвечать за последствия». Теперь же с помощью ИИ любой может сгенерировать PR, даже не понимая исправляемой ошибки или добавляемой функции, которую хотят влить.
Для браузера это имеет значение. Браузер обрабатывает недоверенный ввод со всего интернета на машине пользователя, и одной хорошо замаскированной уязвимости достаточно злоумышленнику. Мы уже видели терпеливые, хорошо обеспеченные кампании в open source, направленные на завоевание доверия мейнтейнеров и его последующее злоупотребление. Изменилось то, насколько быстрее и дешевле стало создавать работу, выглядящую как серьезный вклад.
В то же время каждое изменение, попадающее в Ladybird, становится нашей ответственностью. Оно должно соответствовать архитектуре, выдерживать будущий рефакторинг, корректно взаимодействовать с остальной частью браузера и быть понятным людям, которые его поддерживают.
В сообщении в блоге далее говорится, что команда немедленно закрывает все открытые публичные pull request’ы, и что мейнтейнеры не будут рассматривать внешние форки как очередь для ревью кода в основном проекте Ladybird. Вместо этого команда просит внешних контрибьюторов сосредоточиться на сообщении об ошибках и запуске тестов.
Клинг начал работу над Ladybird в 2019 году как LibHTML, простой HTML-вьюер для своей хобби-операционной системы SerenityOS, но к сентябрю 2022 года проект превратился в полноценный браузер. Что отличает Ladybird от таких проектов, как Google Chrome, Apple Safari или Mozilla Firefox, — это его полностью независимый движок, который не опирается на существующие кодовые базы. Проект придерживается строгой политики против сделок по поисковым системам по умолчанию или монетизации пользовательских данных, финансируя разработку исключительно за счет пожертвований и спонсорства.
Генеративный ИИ вынуждает мейнтейнеров open source проектов переосмыслить подход к обработке публичных вкладов в код (и к открытому исходному коду в целом). Месяц назад утечка информации о Национальной службе здравоохранения (NHS) предполагала, что организация планирует перевести все свои публичные репозитории в приватный режим до крайнего срока 11 мая из-за Mythos (модели ИИ, которую Anthropic считает слишком опасной для публичного релиза) и ее способности находить и писать эксплойты для уязвимостей нулевого дня.
К счастью, Государственная цифровая служба (GDS) опубликовала контрдоклад под названием «ИИ, открытый код и риск уязвимостей в государственном секторе», который предотвратил закрытие, указав на то, что сокрытие кода не улучшает безопасность.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Uzondu
