上周末我打开GitHub看到一条推文Archestra项目团队决定用git --author白名单来对抗AI垃圾PR。说实话我第一反应不是好思路而是卧槽已经到这步了一句话结论AI正在以远超人类清理速度的频率制造开源垃圾维护者被迫花大量时间处理无效贡献开源协作的社会契约正在被撕碎。我见过这种崩溃我之前参与过几个开源项目的维护工作不算重度贡献者但也体会过review PR的痛苦。一个正常的周末打开GitHub十几个待处理的PR其中七八个格式不对、测试没跑、明显没读CONTRIBUTING.md——还得一个个写回复你好谢谢你的贡献但是……每个回复三分钟七八个就是半小时。这还是在AI slop出现之前。现在呢Archestra团队说他们每周花半天清理AI垃圾PR。半天。一个本该用来写代码、做架构设计、推进项目的半天全浪费在关机器人的垃圾上。发生了什么最近开源社区有两个标志性事件把AI slop问题推到了台面上。事件一Archestra的反击Archestra是一个企业级MCP平台的开源项目。据HN讨论他们的仓库被AI机器人垃圾PR和Issue淹没——一个关于x.ai支持的Issue收到了27个PR大多数连测试都没跑过。27个。维护者要逐个打开、逐个review、逐个写回复然后关掉。团队先搞了London-Cat信誉机器人来评估贡献者质量又上了个AI sheriff来自动识别和拦截AI slop。结果AI sheriff自己翻车了——误杀了真人的PR。用一个AI对抗另一个AI制造的问题伤害的却是真正的人类贡献者。讽刺得像黑色喜剧。最终方案新贡献者必须完成onboarding流程通过CAPTCHA验证项目启用git --author白名单——只有经过验证的作者才能提交代码。简单粗暴但有效。这是首批大规模公开反击AI slop的案例之一标志性的。事件二Linus怒了就在上周据多家科技媒体报道Linus Torvalds发布Linux 7.1 RC4时公开警告AI工具滥用。大量由AI辅助生成的重复bug报告正在严重堵塞Linux内核的安全呈报通道安全列表几乎完全无法管理。Linus的核心观点很清楚AI工具发现了bug好。但一个人用AI扫描出某个问题大概率其他几十个人也用同样的工具扫出了同样的问题然后一窝蜂提交。维护者不得不一遍遍回复这个问题一周前就修了附上链接。时间全耗在重复转发和关重复报告上。他不是反对用AI说得很明白用AI发现bug可以但提交时必须附带具体的修复方案别光抛问题。GitHub在干嘛这可能是最让人寒心的部分。一边是维护者被AI垃圾搞得精疲力竭另一边GitHub在干嘛2025年5月他们推出了用Copilot自动生成Issue的功能——你描述一下问题AI帮你生成格式漂亮的Bug报告然后直接提交。GitHub承诺这会更快更轻松且不会牺牲质量。维护者们问能不能屏蔽Copilot生成的Issue。GitHub的回复没有办法。你不能过滤因为这些Issue出现在人类用户名下没有任何标记表明是AI生成的。更讽刺的是GitHub在宣传AI带来了大量贡献的增长数据社区直接嘲讽——数量上去了质量呢这不是贡献这是污染。GitHub的prior contributor设置也分不清AI机器人和新的人类贡献者等于给垃圾贡献者开了后门。FluxCD核心维护者Stefan Prodan说了句大实话AI生成的低质量代码正在对开源维护者进行DDoS攻击而托管开源项目的平台没有动机去阻止这种行为。相反他们有动力夸大AI贡献数据向股东展示价值。被撕碎的社会契约InfoQ今年3月发了篇深度文章里面有个观点特别精准开源协作的本质是一份社会契约。贡献者通过参与获得学习机会、丰富简历、成为更大社区的一部分维护者承诺培育社区、指导项目和贡献者。双方都预见到会有糟糕的PR但历史上糟糕的PR是有成本的——写代码需要时间理解代码库需要精力贡献行为本身筛掉了不认真的人。AI破坏了这个筛选器。现在任何人都可以零成本生成看似合理的贡献。不需要理解代码不需要花时间。这些人图的什么简历上的绿色方块bounty赏金还是单纯觉得用AI给开源提PR很酷无论哪种成本都是维护者在承担。据InfoQ报道cURL的Daniel Stenberg终止了运行六年的漏洞悬赏计划——连续收到大量AI slop报告后有效率从正常水平显著下降到只有5%能识别出真正的漏洞。Ghostty项目实施零容忍政策AI生成的垃圾代码直接永久封禁。tldraw更绝创始人Steve Ruiz宣布自动关闭所有外部PR。Ruiz说了句特别扎心的话在一个AI编码助手的世界里外部贡献者的代码真的有价值吗如果写代码变成了一项简单的工作我为什么要让别人来写呢也有人做对了不是所有AI参与开源的故事都这么灰暗。有个叫Joshua Rogers的安全研究者他用AI辅助工具发现了大量潜在问题但他没有无脑提交——而是整理了一份详尽的清单发给cURL团队附上自己的分析和筛选。结果50个真实的bug得到了修复。这才是AI辅助开源贡献该有的样子。AI是工具你得用脑子驾驭它而不是让AI替你完成整个过程然后把垃圾丢给别人。连锁反应还在恶化更可怕的是问题在加速。LiteLLM仓库据报道遭遇过攻击者用AI机器人引导对话方向——不只是垃圾PR还涉及恶意操控。AI slop不只是效率问题还可能成为安全向量。Stacklok联合创始人Craig McLuckie说得很直白过去标记新手友好问题充满干劲的年轻工程师来解决问题、积累经验、成长为社区贡献者。现在标记一个新手友好问题24小时内就被低质量的氛围编码垃圾淹没。人才培养通道被堵死了。Python软件基金会的Seth Larson担心那些独自处理问题的维护者——不知道AI报告越来越常见把大量时间浪费在虚假报告上然后精疲力竭远离安全工作。我的判断不危言耸听但事实摆在这开源生态正在被AI slop窒息目前的应对手段——不管是git --author白名单、CAPTCHA、还是AI检测AI——都只是治标不治本的权宜之计。从维护者视角看AI制造垃圾的速度远超人类清理的速度这是不对等的战争。一个人review一个PR平均3-5分钟AI生成一个PR只要几秒。一个Issue引来27个垃圾PR数学就不成立了。从平台视角看GitHub作为开源基础设施它的激励和维护者的激励根本不一致。GitHub要的是用户活跃度、贡献数量、向股东展示AI价值。维护者要的是高质量贡献和不被浪费的时间。这个矛盾短期内看不到解法。从长期看AI模型继续进化Slop和人类代码越来越难区分现在基于检测的防线都会失效。真正需要的是平台层面的基础设施变革——AI贡献的标记机制、维护者对AI贡献的精细化控制权限、贡献者身份验证体系。行动建议给维护者现在就建防线别等被淹没。在CONTRIBUTING.md里写明AI政策设新贡献者onboarding流程上最低限度的自动化过滤。用git --author白名单Archestra的方案不完美但实用先保证核心贡献通道干净。公开立场像Ghostty和cURL那样明确告诉社区你对AI贡献的态度。沉默会被AI slop利用。联合发声单个项目太脆弱了。更多维护者需要集体向GitHub施压要求提供AI贡献的过滤和标记工具。给贡献者展示你的工作用AI没问题但要展示你理解了提交的内容附带分析过程。别无脑提交用AI发现bug先搜一下是不是已经有人提交了。附带修复方案比光抛问题有价值100倍。尊重维护者的时间他们大多是志愿者。你的每个垃圾PR都在消耗他们的热情和精力。给平台方说的就是GitHub别光顾着吹AI增长数据了。你的维护者正在精疲力竭。给他们工具让他们能过滤AI slop、标记AI生成内容、控制自己的仓库。不然你引以为傲的开源生态会被你自己推的AI功能搞垮。ers用AI正确贡献的流程示意图与AI slop贡献的对比。用途给出正确方向不只是抱怨。