QEMU生成AIコード方針転換へ：文書作成や軽微なバグ修正には「AI使用」タグ付きで許容

現在の「一律禁止」ポリシー

QEMUが2025年半ばに正式に定めた現行のポリシーは極めて厳格なものです。プロジェクトの「コード来歴（Code Provenance）」に関する文書では、「AI生成コンテンツを含む、またはそれに由来すると考えられる貢献はすべて拒否する（DECLINE）」 と明記しています。この方針の根拠は、法的な不確実性です。QEMUのようなプロジェクトでは、すべての貢献者は、パッチのコードをプロジェクトのライセンスで提供する法的権利を自分が持っていることを証明する「開発者起源証明書（Developer's Certificate of Origin、DCO）」に署名する必要があります。しかし、AIが生成したコードの著作権の帰属は極めて曖昧であるため、コミュニティは「DCOへの準拠という観点から、貢献者がDCOの条項を確実に満たしていると主張することは信憑性に欠ける」と判断しました。QEMUコミュニティは、法的なリスクを許容する「意思も能力もない」と明言していたのです。

新提案の中身：「リスクに応じた階層的許容」

今回の新提案は、AIコードを全面的に解禁するものではありません。代わりに、貢献のリスクと影響度に応じた、メリハリのあるルールを導入しようとしています。

✅ 許可されるAIの使用

AIの支援は、「著作権侵害が発生した場合の影響が、少なくとも容易に元に戻せ、かつ拡散しにくい」タスクに限って許可されます。具体的には、ドキュメントの更新や軽微なバグ修正などが該当します。また、IDEが変数名を自動補完するといった些細な使用については、リスクが極めて低いため、正式な開示すら不要になる可能性が示唆されています。

❌ 制限されるAIの使用

QEMUの中核となるコアコードへの貢献は、引き続き厳しく制限されます。この分野では、「メンテナからの事前の合意なしに」AIを使用することは一切禁止されます。これは、基盤となる重要なコードの来歴を、人間による監査が可能な形で明確に保つための安全策です。

透明性を担保する新たな仕組み：「AI-used-for:」タグ

この新方針の要となるのが、AIの使用を義務的に開示する新しい仕組みです。ボンツィーニ氏は、AIが重要な役割を果たしたパッチに対して、「AI-used-for:」というコミットトレーラー（コミットメッセージの末尾に付与するメタ情報）を追加することを提案しています。

このタグには二つの目的があります。一つは、レビュアーやメンテナに対して、AIツールの関与を透明性をもって記録すること。もう一つは、このタグを付ける行為そのものが「投稿者が本方針を読み、理解したことの確認として機能する」ことです。これは単に「Assisted-by:（AI名）」などと書くよりも強い意味を持ち、開発者に対して、自身のAI利用がプロジェクトの定める範囲内であることを能動的に認証させる仕組みになっています。なお、AIを使用したとしても、これまでと同様にDCOへの署名など他の標準的な貢献要件が免除されるわけではない点が強調されています。

オープンソースの未来にとっての意味

QEMUの今回の熟議は、オープンソース界隈で最も注目されている動きの一つです。AIが生成したコードを誰が所有するのか、どのライセンスで提供できるのか、DCOを満たせるのか、といった法的な問いは、裁判所でも未だに明確な答えが出ていません。この法的空白の中で、各プロジェクトは独自にリスク管理の枠組みを作らざるを得ません。

QEMUが検討している「リスク評価と情報開示に基づく段階的アプローチ」は、他の多くの主要プロジェクトが追随する可能性のある「中道的なひな形」となり得ます。維持が難しくなった絶対禁止を続けるでもなく、安全策なしにすべてのAIコードを受け入れるでもない。定型文書や軽微な修正のような低リスク領域ではAIの生産性向上効果を取り入れつつ、中核的なロジックは厳格に人間の審査下に置く。このモデルは、重要なインフラストラクチャソフトウェアにとって、法的・セキュリティ上の基盤を守りながらAIの利便性とどう折り合いをつけるかという難題への、一つの解答を提示しようとしています。