Diretrizes para uso de ferramentas de assistência por IA ao contribuir com o kernel Linux

 (github.com/torvalds)
10 pontos por GN⁺ 19 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Documento oficial do kernel Linux, de Linus Torvalds, que afirma que, ao contribuir com ferramentas de codificação por IA, é preciso seguir exatamente o processo de desenvolvimento e o estilo de código existentes do kernel
  • A IA não pode adicionar a tag Signed-off-by — legalmente, apenas humanos podem certificá-la, e o desenvolvedor humano assume toda a responsabilidade pela revisão do código gerado por IA, pela conformidade de licença e pela responsabilidade legal
  • Em códigos com contribuição de IA, é preciso indicar o nome do modelo:versão e as ferramentas de análise em um formato como Assisted-by: Claude:claude-3-opus coccinelle sparse
    • Ferramentas básicas de desenvolvimento como git, gcc e make ficam excluídas dessa indicação
  • Todas as contribuições devem ser compatíveis com GPL-2.0-only e é obrigatório incluir o identificador de licença SPDX

Leituras relacionadas

1 comentários

 
GN⁺ 19 일 전
Comentários do Hacker News

  • A regra básica é que pode usar IA, mas a responsabilidade pelo commit é inteiramente da pessoa
    Parece senso comum que o código precisa cumprir a licença. É algo com que a maioria dos desenvolvedores provavelmente concorda

    • Esta é uma política realmente normal, entediante de tão razoável
      O surpreendente é precisar explicitar isso
      Hoje em dia, muita gente publica em open source código gerado por IA sem nem entendê-lo e, quando dá problema depois, tenta escapar da responsabilidade dizendo “foi a IA”
      Nessa situação, é natural que mantenedores sejam céticos em relação a código de IA
    • Na comunidade Linux, há muitas pessoas extremamente contrárias a commits assistidos por IA
      Alguns veem a política atual de Torvalds como uma traição, e há quem diga que nunca mais vai contribuir se código gerado por IA for mesclado
    • Se a saída da IA não for GNU GPL, fica a dúvida se ela vira código GPL só porque um desenvolvedor do Linux adicionou aquilo
    • IA é apenas uma ferramenta (tool), então não entendo por que seria necessário indicá-la explicitamente como autora

  • Isso parece um tanto contrastante, já que acabei de ver Greg KH aplicar o revisor Sashiko AI a todos os patches recentemente
    O revisor de IA está de fato ajudando, mas a discussão ainda continua presa à “responsabilidade sobre código de IA”
    O ponto realmente perigoso são condições de corrida e problemas de lock que a IA erra com confiança
    Fico curioso se essa política é uma solução de longo prazo ou apenas um arranjo temporário antes de sistemas como o Sashiko reforçarem a filtragem do lado da manutenção

  • A política anunciada por Torvalds define claramente que humanos devem revisar, assinar e se responsabilizar pelo código de IA
    Parece ter passado por revisão jurídica e pode acabar virando referência para desenvolvimento assistido por IA daqui para frente

    • Mas o documento em si foi escrito por Sasha Levin com base nas discussões dos mantenedores do Linux
    • ‘Signed-off-by’ já é um procedimento mais formal do que substantivo, e muitos contribuintes iniciantes o adicionam sem nem saber o que significa
      Na prática, já aconteceu de meu nome entrar automaticamente quando meu patch foi incluído no refatoramento de outra pessoa
      No fim, qualquer um pode adicionar “Co-developed-by” ou “Signed-off-by”, e quase não há força legal nisso

  • Como LLMs não conseguem indicar a origem, fico em dúvida sobre como garantir conformidade com licenças

    • Na Alemanha, saídas de LLM não são protegidas por direitos autorais
      O autor pode ser o usuário da IA ou o desenvolvedor do modelo, então a incerteza jurídica é grande
      Nessa situação, no longo prazo, a própria licença do kernel pode acabar ficando sem efeito
      Isso é tratado no artigo da KPMG Law sobre IA e direitos autorais

  • É estranho reutilizar a tag “Assisted-by:” para indicar modelos de IA
    Originalmente era uma tag para mostrar ajuda de pessoas, mas agora passou a ter dois significados, o que causa confusão
    Normalmente seria mais comum usar uma tag separada, como “AI-assistant:”

  • O caminho certo para open source é deixar clara a ligação entre humanos e agentes e fazer com que humanos assumam a responsabilidade pela validação final
    Obrigado ao Linus

  • É bom ver o princípio sensato de que, mesmo se o código foi feito por IA, a responsabilidade continua sendo humana

  • Parece uma inversão do velho ditado “mau artesão culpa as ferramentas”
    No fim das contas, a escolha da ferramenta e a responsabilidade por seu uso são da pessoa

  • Essa política não vai proteger o Linux de responsabilidade por violação de direitos autorais
    É como uma loja dizer “acredito que o fornecedor tenha removido o THC”
    Declarar por conta própria uma isenção não faz a responsabilidade legal desaparecer

    • Mas o kernel Linux não é uma entidade jurídica, e sim um conjunto de contribuidores
      Mesmo que código infrator seja incluído, o alvo de um processo seriam usuários do Linux ou empresas
      Na prática, a chance de um processo desses acontecer é baixa
    • Muitas empresas usam código de IA, mas isso não significa que todas acabem responsabilizadas legalmente
    • Projetos open source, ao contrário de lojas, não oferecem garantia ao consumidor
      A comparação em si não se encaixa
    • Na verdade, código de IA não é necessariamente mais perigoso
      Uma pessoa mal-intencionada pode copiar e colar código privado e assinar do mesmo jeito
      No fim, o problema é o ser humano que mente

  • Há uma cláusula dizendo que todo código deve ser compatível com GPL-2.0-only,
    mas, com IA treinada em código sob várias licenças, fico em dúvida sobre como isso pode ser garantido

    • A resposta é simples: quem usou a IA assume a responsabilidade
      Se a IA errar, a responsabilidade também é da pessoa. Se isso te deixa inseguro, melhor não usar IA
    • Na prática, desenvolvedores humanos também não olharam apenas código GPL
    • A interpretação de direitos autorais cabe aos tribunais. Não é algo que Torvalds tenha como prever
      Mas, se a IA estiver consultando outras bases de código em tempo de execução, o risco pode ser maior
    • Algumas pessoas defendem que “código feito por IA está em domínio público e, portanto, não viola a GPL”
      Mas essa abordagem pode acabar diluindo o sentido da licença
      Um comentário como “foi 100% vibecoded, mas eu revisei” tem pouca força jurídica
      Houve até a proposta de abrir uma issue de relicenciamento para domínio público em projetos “100% vibecoded” para chamar atenção para esse problema