QEMU Considera Flexibilizar su Prohibición de Código Generado por IA para Tareas de Bajo Riesgo

La política actual: un 'no' rotundo por riesgos legales

Para entender la magnitud del cambio, hay que mirar la normativa vigente. A mediados de 2025, QEMU formalizó una regla estricta en su documentación de procedencia de código, declarando que el proyecto rechazaría cualquier contribución que se creyera que incluye o deriva de contenido generado por IA . Herramientas como ChatGPT, GitHub Copilot o Anthropic Claude quedaron explícitamente vetadas.

La razón de fondo no era tecnológica, sino legal. El proyecto se fundamenta en el Certificado de Origen del Desarrollador (DCO, por sus siglas en inglés), un documento legal estándar en el mundo del código abierto donde quien contribuye certifica que tiene el derecho a hacerlo y que el código cumple con la licencia del proyecto. La comunidad de QEMU consideró que el código generado por una IA, cuyo origen y derechos de autor son un rompecabezas legal sin resolver, no podía cumplir de forma creíble con esta certificación. El proyecto afirmó tajantemente no estar "dispuesto ni capacitado para aceptar los riesgos legales del incumplimiento" del DCO .

La propuesta de cambio: un sistema de riesgos por niveles

La nueva política no abre las puertas de par en par a toda la IA. Lo que propone Bonzini es un sistema escalonado, basado en el riesgo y el impacto de cada contribución.

• Usos Permitidos (Bajo Riesgo): La asistencia de IA se permitiría en tareas donde "las ramificaciones de una violación de derechos de autor sean al menos fáciles de revertir y poco probables de propagarse" . Esto incluye la redacción de documentación, pequeños arreglos de bugs y la generación de pruebas. Son áreas donde un hipotético problema legal tendría un impacto contenido y se podría solucionar con facilidad . Usos triviales, como que un editor de código autocomplete el nombre de una variable, se consideran tan inocuos que quizá ni siquiera requieran ser divulgados formalmente .
• Usos Restringidos (Alto Riesgo): El código central de QEMU, el corazón del emulador, permanecería blindado. En estos casos, el uso de IA estaría terminantemente prohibido "sin el acuerdo previo de un mantenedor" . Esta salvaguarda garantiza que el código fundacional y de alto riesgo siga teniendo una procedencia clara y auditable por humanos.

Transparencia obligatoria: la etiqueta 'AI-used-for:'

Una de las piedras angulares de la propuesta es un nuevo mecanismo de divulgación obligatoria. Se propone añadir una etiqueta 'AI-used-for:' en la información de cada contribución (commit) donde la IA haya jugado un papel significativo .

Esta etiqueta tiene un doble propósito: por un lado, informa de forma transparente a los revisores y mantenedores de la participación de la herramienta y, por otro, "sirve como una verificación de que el autor ha leído la política" antes de enviar su código . Es un enfoque más activo que una simple etiqueta de 'Assisted-by', ya que obliga al colaborador a certificar que su uso de la IA se ajustó a los límites definidos por el proyecto. Un punto crucial es que usar IA no exime a nadie de los demás requisitos estándar, incluida la importantísima certificación del DCO .

¿Qué significa esto para el futuro del código abierto?

La deliberación en QEMU es una de las más observadas en el ecosistema del código abierto. Las grandes preguntas legales sobre el código de IA —quién es su dueño, bajo qué licencia se puede contribuir y si puede cumplir con el DCO— siguen sin respuesta por parte de los tribunales . En este vacío legal, cada proyecto debe crear su propio marco de gestión de riesgos.

El enfoque que QEMU está considerando representa un posible camino intermedio que otros grandes proyectos podrían imitar. Lejos de mantener una prohibición absoluta cada vez más difícil de sostener, o de lanzarse a aceptar todo código de IA sin medidas de seguridad, este modelo apuesta por un marco basado en la evaluación de riesgos y la transparencia. Otros proyectos importantes, como FreeBSD, están lidiando con preguntas idénticas, y ya han surgido iniciativas para rastrear el código abierto "contaminado" por modelos de lenguaje .

Al permitir potencialmente la ayuda de la IA para tareas mecánicas y de documentación, mientras mantiene la lógica central del software bajo estricta revisión humana, QEMU está probando un modelo que podría equilibrar las ganancias de productividad con las necesidades legales y de seguridad fundamentales del software de infraestructura crítica .