Linus Torvalds ลากเส้นใต้กฎ AI ใน Linux Kernel: มนุษย์ต้องรับผิดชอบทุกบรรทัดโค้ด

• ห้าม AI Agent เพิ่มแท็ก Signed-off-by แท็กนี้คือการรับรองแหล่งที่มาของโค้ด (Developer Certificate of Origin - DCO) ที่มีผลผูกพันทางกฎหมาย และนโยบายระบุชัดว่ามีเพียงมนุษย์เท่านั้นที่สามารถรับรองตามกฎหมายได้ AI ไม่มีสถานะทางกฎหมาย
• แนะนำแท็กใหม่ Assisted-by แต่ไม่ได้บังคับ นโยบายสนับสนุน แต่ไม่ได้บังคับ ให้นักพัฒนาเปิดเผยเมื่อพวกเขาใช้เครื่องมือ AI เป้าหมายคือความโปร่งใส ไม่ใช่กฎตายตัว
• มนุษย์ต้องแบกรับความรับผิดชอบทางกฎหมายและเทคนิคทั้งหมด ผู้ที่ส่งแพตช์จะต้องรับผิดชอบต่อโค้ดทุกบรรทัดที่ AI สร้าง และต่อบั๊กหรือช่องโหว่ด้านความปลอดภัยใดๆ ที่ตามมา ไม่มีข้อยกเว้น
• ความเข้ากันได้ของใบอนุญาตนั้นต่อรองไม่ได้ โค้ดทั้งหมดที่ AI สร้างในการมีส่วนร่วมจะต้องเข้ากันได้กับใบอนุญาต GPL-2.0-only ของ Kernel นี่คือมาตรการป้องกันการปนเปื้อนของใบอนุญาตจากโมเดล AI ที่ถูกเทรนด้วยโค้ดที่มีใบอนุญาตขัดแย้งกัน

แนวทางของ Torvalds นั้นตรงไปตรงมาอย่างที่เขาเป็น เขาเรียกการถกเถียงไม่รู้จบเกี่ยวกับ AI ในเอกสารว่าเป็น "การทำท่าทางที่ไร้จุดหมาย" และระบุว่าเอกสารมีไว้สำหรับ "คนที่หวังดี" ไม่ใช่คนที่จะส่งสแปม AI อยู่ดี เขาให้เหตุผลว่าการป้องกันที่แท้จริงคือ "ใครๆ ก็ส่งขยะมาได้ แต่ผู้ดูแลสามารถเพิกเฉยมันได้" นโยบายนี้จึงถูกออกแบบมาเพื่อติดอาวุธให้กับผู้ดูแลเหล่านั้น ไม่ใช่เพื่อหยุดคนไม่ดี แต่เพื่อสร้างกรอบการทำงานที่คนดีจะกระทำการอย่างมีความรับผิดชอบ

จุดแตกหัก: คลื่นสแปมบั๊กจาก AI ที่ "เกินจะรับมือไหว"

หากนโยบายการส่งโค้ดเป็นเชิงรุก กฎการรายงานความปลอดภัยคือปฏิกิริยาโดยตรงต่อวิกฤต ในเดือนพฤษภาคม 2026 Torvalds ประกาศต่อสาธารณะว่ากลุ่มอีเมลลับสำหรับรายงานปัญหาด้านความปลอดภัยของ Linux kernel กลายเป็น "แทบจะจัดการไม่ได้โดยสิ้นเชิง" สาเหตุคือปริมาณรายงานช่องโหว่ที่สร้างโดย AI จำนวนมหาศาลจนท่วมท้น

รายงานเหล่านี้ไม่ใช่การค้นพบคุณภาพสูง แต่เป็นรายงานที่มาส่งพอเป็นพิธี มักจะซ้ำซาก หรือเป็นอาการประสาทหลอนของ AI ทั้งหมดจากคนที่ไม่เข้าใจโค้ดที่พวกเขาอ้างว่ากำลังวิเคราะห์ Torvalds อธิบายว่ามันมาจาก "คนที่มาส่งแล้วไป" (Drive-by Contributors) ที่ส่งรายงานแล้วหายตัวไป โดยไม่ได้ตรวจสอบว่าปัญหาถูกแก้ไขแล้วหรือยัง หรือแม้แต่จะเข้าใจระบบย่อยที่พวกเขากำลังดูอยู่

เอกสารที่อัปเดตตอนนี้กำหนดกฎง่ายๆ หนึ่งข้อ: ถ้าคุณพบข้อบกพร่องที่อาจเกิดขึ้นโดยใช้เครื่องมือ AI คุณต้องรายงานมันแบบ สาธารณะ ต่อผู้ดูแลระบบที่เกี่ยวข้อง รายงานทั้งหมดถูกห้ามส่งเข้ารายชื่ออีเมลลับ และต้องเป็นข้อความธรรมดา กระชับ และมีวิธีการทำซ้ำบั๊กที่ตรวจสอบแล้ว ความต้องการของ Torvalds นั้นแรงกว่านั้นอีก: เขาต้องการให้ผู้มีส่วนร่วมที่พบปัญหาจริงทำความเข้าใจปัญหาอย่างลึกซึ้งและส่งแพตช์เพื่อแก้ไข ไม่ใช่แค่ส่งรายงาน

สามเรื่องปวดหัวที่ AI ก่อขึ้นในโลกโอเพนซอร์ส

นโยบายคู่ขนานของ Linux kernel เป็นภาพจำลองขนาดย่อมของความท้าทายที่ใหญ่กว่าที่โค้ดที่สร้างโดย AI นำเสนอต่อโปรเจกต์โอเพนซอร์สทั้งหมด วิกฤตในรายชื่ออีเมลลับด้านความปลอดภัยและกฎความรับผิดชอบอันเข้มงวดเน้นถึงปัญหาเชิงระบบสามประการ

1. ภาวะหมดไฟของผู้ดูแลในระดับมหึมา

การดูแลโอเพนซอร์สเป็นงานที่มีภาวะหมดไฟสูงอยู่แล้วและมีเวลาในการตรวจสอบจำกัด เครื่องมือ AI ทวีคูณปริมาณการส่งงานขึ้นเป็นเท่าตัว แต่จำนวนชั่วโมงมนุษย์ที่มีเพื่อประเมินงานเหล่านั้นยังคงเท่าเดิม อัตราส่วนสัญญาณต่อสัญญาณรบกวนพังทลาย คำตอบของ Kernel คือการเดิมพันที่การคัดแยก: ทำให้กฎชัดเจนพอ เพื่อให้ผลงานจาก AI คุณภาพต่ำถูกปัดทิ้งได้อย่างรวดเร็วและไม่ต้องขอโทษ

2. สุญญากาศแห่งความรับผิดชอบ

การประกันคุณภาพโอเพนซอร์สแบบดั้งเดิมขึ้นอยู่กับชื่อเสียงของนักพัฒนาและข้อผูกมัดทางกฎหมายของ DCO ตัวแทน AI ไม่สามารถให้สิ่งเหล่านี้ได้ มันสามารถสร้างโค้ดที่ดูเหมือนถูกต้อง แต่จริงๆ แล้วผิดหรือลอกเลียนแบบมาอย่างแนบเนียน วิธีแก้ของ Kernel คือการยึดความรับผิดชอบทั้งหมดไว้ที่มนุษย์ผู้ส่ง ทำให้เป็นไปไม่ได้ที่จะโยนความผิดให้ AI สำหรับแพตช์ที่เลวร้าย อย่างไรก็ตาม นี่เป็นการสร้างภาระด้านธรรมาภิบาลให้กับมนุษย์ ซึ่งโปรเจกต์ขนาดเล็กและมีโครงสร้างน้อยกว่าจำนวนมากอาจพบว่ายากที่จะลอกเลียนแบบหรือบังคับใช้

3. ทางแยกของ LLMs: Copilot ใช้ได้, "Slop" ห้ามใช้

รายละเอียดที่น่าทึ่งของนโยบายใหม่คือการยกเว้นแบบเฉพาะเจาะจง: GitHub Copilot ซึ่งเป็นผู้ช่วยเขียนโค้ด AI ของ Microsoft ได้รับการอนุมัติอย่างชัดแจ้งให้ใช้ในการมีส่วนร่วมกับ Kernel ความแตกต่างที่ผู้ดูแลระบบวาดขึ้นไม่ใช่ระหว่าง "AI" และ "มนุษย์" แต่เป็นการพัฒนาที่ระมัดระวังและมีความช่วยเหลือ กับการทำงานอัตโนมัติที่ไร้ความรับผิดชอบ คำว่า "AI Slop" ได้กลายเป็นชวเลขอย่างเป็นทางการสำหรับอย่างหลัง สิ่งนี้สร้างความเป็นจริงใหม่ที่น่าอึดอัดสำหรับผู้มีส่วนร่วม ที่ซึ่งเครื่องมือเดียวกันสามารถใช้ได้อย่างมีความรับผิดชอบหรือไม่ก็ได้ โดยมีเพียงความไว้วางใจของชุมชนที่มีต่อมนุษย์นักพัฒนาเท่านั้นที่แยกแยะทั้งสองสิ่งนี้ นโยบายใหม่ไม่ได้แก้ปัญหานี้ได้ทั้งหมด มันส่งต่อความรับผิดชอบให้นักพัฒนาและผู้ดูแลระบบจัดการกันเอาเอง