开源浏览器引擎项目Ladybird宣布重大政策转变,正值筹备首个Alpha版本关键阶段,不再接受公开Pull Request,所有代码变更仅由项目维护者引入,当前开放的公开Pull Request也将全部关闭。
长期以来,开源社区依靠贡献者展示成果、负责变更、持续参与来构建信任。但AI工具的出现改变了这一逻辑,一个Pull Request不再能反映提交者的真实投入,攻击者利用AI降低攻击成本、提升攻击速度,用看似严肃的贡献伪装恶意代码。
对于浏览器项目,安全至关重要。Ladybird团队见证过攻击者骗取维护者信任入侵开源项目的案例,限制贡献者范围能降低代码安全风险。但关闭公开贡献通道也放弃了开源强大的激励机制,可能导致社区活力流失。
Ladybird的这一决定在开源社区引发广泛讨论。若能通过更封闭的开发模式推出安全稳定的浏览器,将为“AI时代开源安全模型”提供有价值的实验案例;若导致代码质量下降或社区活力流失,其价值将被重新评估。这一决定表明AI工具对开源生态的冲击已蔓延到治理层面。
编辑观点:Ladybird的决策是在AI时代对开源安全与社区活力的艰难平衡,其效果有待实践检验,或为开源项目治理提供新思路。
