Aturan Baru Linux Kernel untuk AI: Torvalds Tegaskan Manusia Bertanggung Jawab Penuh atas Setiap Baris Kode

• Agen AI tidak boleh menambahkan tag Signed-off-by. Tag ini adalah Sertifikat Asal Pengembang (Developer Certificate of Origin/DCO) yang mengikat secara hukum, dan kebijakan ini secara eksplisit menyatakan bahwa hanya manusia yang dapat mengesahkannya secara legal . AI tidak memiliki kedudukan hukum.
• Tag Assisted-by yang baru direkomendasikan, tetapi tidak diwajibkan. Kebijakan ini menganjurkan, tetapi tidak mewajibkan, para pengembang untuk mengungkapkan jika mereka menggunakan alat AI . Tujuannya adalah transparansi, bukan aturan yang kaku.
• Manusia menanggung tanggung jawab hukum dan teknis penuh. Orang yang mengirimkan tambalan bertanggung jawab atas setiap baris kode buatan AI dan segala bug atau kerentanan keamanan yang diakibatkannya . Tidak ada pengecualian.
• Kompatibilitas lisensi tidak bisa ditawar. Semua kode berbantuan AI dalam kontribusi harus kompatibel dengan lisensi GPL-2.0-only milik kernel . Ini adalah perlindungan terhadap potensi kontaminasi lisensi dari model AI yang dilatih dengan kode berlisensi bertentangan.

Pendekatan Torvalds sangatlah blak-blakan. Ia menyebut perdebatan tanpa akhir tentang AI di dokumentasi sebagai "sikap tidak berguna" dan menegaskan bahwa dokumentasi adalah untuk "aktor yang baik," bukan untuk orang-orang yang akan tetap mengirim spam AI . Pertahanan sebenarnya, menurutnya, adalah bahwa "siapa pun bisa mengirim sampah, tapi pengelola bisa mengabaikannya" . Oleh karena itu, kebijakan ini dirancang untuk membekali para pengelola—bukan untuk menghentikan aktor jahat, tetapi untuk menciptakan kerangka kerja di mana aktor yang baik bertindak secara bertanggung jawab.

Titik Puncak: Banjir Spam Bug AI yang "Tidak Terkendali"

Jika kebijakan pengiriman kode bersifat proaktif, aturan pelaporan keamanan adalah reaksi langsung terhadap sebuah krisis. Pada Mei 2026, Torvalds secara terbuka mengumumkan bahwa milis keamanan privat Linux kernel telah menjadi "hampir sepenuhnya tidak terkendali" . Penyebabnya adalah volume laporan kerentanan yang dibuat oleh AI yang sangat banyak dan tidak terkendali.

Ini bukanlah temuan berkualitas tinggi. Ini adalah laporan asal-asalan, sering kali duplikat atau sepenuhnya halusinasi, dari orang-orang yang tidak memahami kode yang mereka klaim sedang mereka analisis . Torvalds menggambarkan mereka sebagai "kontributor asal lapor" yang mengirimkan laporan lalu menghilang, tanpa memeriksa apakah masalah sudah diperbaiki atau bahkan memahami subsistem yang mereka bidik .

Dokumentasi yang diperbarui kini mengamanatkan aturan sederhana: jika Anda menemukan potensi bug menggunakan alat AI, Anda harus melaporkannya secara publik kepada pengelola yang relevan. Laporan dilarang masuk ke daftar keamanan privat dan harus dalam teks biasa, ringkas, dan menyertakan metode terverifikasi untuk mereproduksi bug . Preferensi Torvalds bahkan lebih kuat lagi: ia menginginkan kontributor yang menemukan masalah nyata untuk benar-benar memahami masalah tersebut secara mendalam dan mengirimkan tambalan untuk memperbaikinya, bukan sekadar mengirim laporan .

Tiga Tantangan Besar AI untuk Sumber Terbuka

Kebijakan ganda Linux kernel adalah cerminan dari tantangan yang lebih besar yang dihadirkan oleh kode buatan AI untuk semua proyek sumber terbuka (open source). Krisis pada milis keamanan dan aturan tanggung jawab ketat menyoroti tiga masalah sistemik.

1. Kelelahan Pengelola dalam Skala Besar

Pengelolaan open source sudah merupakan aktivitas yang rawan kelelahan dengan kapasitas peninjauan yang terbatas. Alat AI melipatgandakan volume kiriman hingga berlipat-lipat, sementara jumlah jam kerja manusia yang tersedia untuk mengevaluasinya tetap sama . Rasio sinyal terhadap derau pun runtuh. Jawaban kernel adalah bertaruh pada triase: buat aturan yang cukup jelas sehingga kiriman berkualitas rendah buatan AI dapat ditolak dengan cepat dan tanpa perlu basa-basi.

2. Kekosongan Tanggung Jawab

Jaminan kualitas open source tradisional bergantung pada reputasi pengembang dan komitmen hukum dari DCO. Agen AI tidak menyediakan keduanya. Ia dapat menghasilkan kode yang tampak benar tetapi sebenarnya salah secara halus atau hasil plagiat. Solusi kernel adalah menambatkan semua tanggung jawab pada pengirim manusia, sehingga mustahil untuk menyalahkan AI atas tambalan yang berakibat fatal . Namun, ini menempatkan beban tata kelola pada manusia yang mungkin sulit ditiru atau ditegakkan oleh proyek-proyek lain yang lebih kecil dan kurang terstruktur.

3. Persimpangan Jalan untuk Model Bahasa Besar (LLM): Copilot Diterima, "Sampah" Ditolak

Salah satu detail luar biasa dari kebijakan baru ini adalah pengecualian spesifik: GitHub Copilot, asisten pengodean AI milik Microsoft, secara eksplisit disetujui untuk digunakan dalam kontribusi kernel . Perbedaan yang ditarik oleh para pengelola bukanlah antara "AI" dan "manusia," tetapi antara pengembangan yang cermat dan berbantuan, dengan otomatisasi yang tidak bertanggung jawab. Istilah "sampah AI" (AI slop) kini menjadi singkatan resmi untuk yang terakhir . Ini menciptakan realitas baru yang tidak nyaman bagi para kontributor, di mana alat yang sama dapat digunakan secara bertanggung jawab atau sembarangan, dan hanya kepercayaan komunitas pada pengembang manusia yang dapat membedakan keduanya. Kebijakan baru ini tidak sepenuhnya menyelesaikan masalah ini—ia hanya menyerahkan tanggung jawab kepada pengembang dan pengelola untuk mencari tahu sendiri .