El núcleo de Linux contra el 'slop' de la IA: Por qué Linus Torvalds te responsabiliza de cada línea de código

• Los agentes de IA no pueden añadir la etiqueta Signed-off-by. Esta etiqueta es el Certificado de Origen del Desarrollador (DCO, por sus siglas en inglés) legalmente vinculante, y la política es explícita: solo un humano puede certificarlo legalmente . Una IA no tiene capacidad jurídica para ello.
• Se recomienda una nueva etiqueta Assisted-by, pero no es obligatoria. La política anima, aunque no exige, a los desarrolladores a revelar cuándo han usado una herramienta de IA . El objetivo es la transparencia, no una regla rígida.
• Los humanos asumen toda la responsabilidad legal y técnica. La persona que envía el parche es responsable de cada línea de código generado por IA y de cualquier error o vulnerabilidad de seguridad resultante . No hay excepciones.
• La compatibilidad de licencias es innegociable. Todo el código producido por IA en las contribuciones debe ser compatible con la licencia GPL-2.0-only del núcleo . Esta es una salvaguarda contra una posible contaminación de licencias por parte de modelos de IA entrenados con código de licencias conflictivas.

El enfoque de Torvalds es característicamente directo. Ha calificado el debate interminable sobre la IA en la documentación como una "pose sin sentido" y ha afirmado que la documentación es para los "actores de buena fe", no para quienes enviarían spam con IA de todos modos . La verdadera defensa, argumenta, es que "cualquiera puede enviar basura, pero los mantenedores pueden ignorarla" . Esta política, por tanto, está diseñada para equipar a esos mantenedores; no para detener a los malos actores, sino para crear un marco en el que los buenos actúen con responsabilidad.

El punto de inflexión: Una inundación "ingobernable" de spam de errores generados por IA

Si la política de envío de código fue proactiva, la regla de informes de seguridad fue una reacción directa a una crisis. En mayo de 2026, Torvalds anunció públicamente que la lista de correo privada de seguridad del núcleo de Linux se había vuelto "casi totalmente ingobernable" . La causa fue un volumen abrumador de informes de vulnerabilidad generados por IA.

No se trataba de hallazgos de alta calidad. Eran reportes superficiales, a menudo duplicados o completamente alucinados, provenientes de personas que no entendían el código que decían estar analizando . Torvalds los describió como provenientes de "contribuyentes esporádicos" que lanzan un informe y desaparecen, sin verificar si el problema ya estaba corregido o sin siquiera entender el subsistema en cuestión .

La documentación actualizada ahora exige una regla simple: si encuentras un posible error usando una herramienta de IA, debes reportarlo públicamente al mantenedor correspondiente. Los informes quedan prohibidos en la lista de seguridad privada y deben estar en texto plano, ser concisos e incluir un método verificado para reproducir el error . La preferencia de Torvalds es aún más contundente: quiere que quienes encuentren problemas reales los entiendan a fondo y envíen un parche para solucionarlos, no solo un informe .

Los tres quebraderos de cabeza que la IA causa al código abierto

Las políticas gemelas del núcleo de Linux son un microcosmos de los grandes desafíos que el código generado por IA presenta para todos los proyectos de código abierto. La crisis en la lista de seguridad y la estricta regla de responsabilidad ponen de manifiesto tres problemas sistémicos.

1. Agotamiento del mantenedor a gran escala

El mantenimiento del código abierto ya es una actividad con alta tasa de abandono y con una capacidad de revisión limitada. Las herramientas de IA multiplican el volumen de envíos por órdenes de magnitud, pero la cantidad de horas humanas disponibles para evaluarlos sigue siendo la misma . La relación señal-ruido se desploma. La respuesta del núcleo es una apuesta por la clasificación: dejar las reglas lo suficientemente claras para que las contribuciones de baja calidad generadas por IA puedan ser descartadas rápidamente y sin disculpas.

2. El vacío de responsabilidad

El aseguramiento de la calidad en el código abierto tradicional se basa en la reputación del desarrollador y el compromiso legal del DCO. Un agente de IA no proporciona ninguna de las dos cosas. Puede producir código que parece correcto pero que es sutilmente erróneo o plagiado. La solución del núcleo es anclar toda la responsabilidad en el remitente humano, haciendo imposible culpar a una IA por un parche desastroso . Sin embargo, esto coloca una carga de gobernanza sobre el humano que muchos proyectos más pequeños y menos estructurados pueden encontrar difícil de replicar o hacer cumplir.

3. Una bifurcación en el camino: Copilot sí, el "slop" no

Un detalle notable de la nueva política es una excepción específica: GitHub Copilot, el asistente de codificación de IA propiedad de Microsoft, está explícitamente aprobado para su uso en las contribuciones al núcleo . La distinción que hacen los mantenedores no es entre "IA" y "humano", sino entre el desarrollo cuidadoso y asistido y la automatización irresponsable. El término "slop de IA" (o código basura) se ha convertido en la abreviatura oficial para esto último . Esto crea una nueva e incómoda realidad para los contribuyentes, donde la misma herramienta puede usarse de forma responsable o imprudente, y solo la confianza de la comunidad en el desarrollador humano diferencia una de otra. La nueva política no resuelve del todo este problema: le entrega la responsabilidad al desarrollador y al mantenedor para que lo resuelvan por sí mismos .