Cơn địa chấn trong giới nguồn mở: Flathub cấm cửa AI, QEMU hé cửa có điều kiện

Chính sách có một ngoại lệ hẹp dành cho "các dự án lâu năm, được bảo trì tốt", nhưng tài liệu cũng nói rõ đây không phải là sự đảm bảo . Các bài gửi có thể bị từ chối ở bất kỳ giai đoạn nào hoặc thậm chí bị thu hồi sau khi đã hợp nhất nếu bị phát hiện vi phạm . Các ứng dụng hiện có chứa mã do AI tạo ra vẫn được giữ lại trên Flathub – lệnh cấm không có hiệu lực hồi tố – nhưng các ứng dụng mới có sự hỗ trợ của AI coi như bị chặn lại từ bây giờ .

Flathub đã không cố gắng vạch ra những ranh giới tế nhị giữa việc sử dụng AI có thể chấp nhận và không thể chấp nhận. Họ chọn sự ngăn cấm bởi chính quá trình phân loại và kiểm duyệt đã trở thành một chi phí không thể duy trì. Nền tảng này đang bảo vệ sự tập trung và sức khỏe tinh thần của người kiểm duyệt, thay vì cố gắng sửa chữa một hệ thống pháp lý vẫn chưa theo kịp công nghệ.

Sự đảo ngược của QEMU: Thử nghiệm lối đi giữa bằng sự công khai

Trước đó, vào giữa năm 2025, QEMU đã áp dụng một trong những chính sách AI nghiêm ngặt nhất trong giới nguồn mở. Quy tắc chính thức về nguồn gốc mã nguồn của họ tuyên bố rằng bất kỳ đóng góp nào bị nghi ngờ có chứa hoặc bắt nguồn từ nội dung do AI tạo ra – từ ChatGPT, Claude, Copilot, Llama và các công cụ tương tự – đều sẽ bị từ chối . Lý do được đưa ra là mã AI không thể đáp ứng Chứng nhận Nguồn gốc Nhà phát triển (Developer's Certificate of Origin - DCO) vì không có tác giả là con người để thực hiện các xác nhận bắt buộc .

Nhưng đến cuối tháng 5 năm 2026, dự án này đã đi theo hướng ngược lại. Paolo Bonzini, một kỹ sư xuất sắc tại Red Hat và là người bảo trì KVM, đã đề xuất cho phép các bản vá do AI hỗ trợ trong những phạm vi hẹp, có rủi ro thấp – cụ thể là những nơi mà hậu quả của việc vi phạm bản quyền dễ dàng được hoàn tác và khó có khả năng lan rộng. Mã nguồn lõi sẽ vẫn là vùng cấm nếu không có thỏa thuận trước từ người bảo trì .

Lập luận của Bonzini mang tính thực dụng. Các dự án đã chấp nhận đóng góp từ AI đến nay vẫn chưa gặp rắc rối pháp lý nghiêm trọng nào, và chính đội ngũ pháp lý của Red Hat đã đánh giá rủi ro này ở mức có thể chấp nhận được cho các hạng mục thay đổi đã được xác định . Đề xuất này bổ sung yêu cầu công khai bắt buộc, kêu gọi những người đóng góp gắn cờ rõ ràng các phần do AI tạo ra thay vì che giấu chúng .

Về bản chất, QEMU đang đặt cược rằng một lối đi giữa dựa trên sự minh bạch có thể hiệu quả, thay vì một lệnh cấm toàn diện gây ra xung đột mà không mang lại lợi ích pháp lý tương xứng – đặc biệt là đối với các đóng góp mang tính máy móc như các ca kiểm thử, sửa lỗi tài liệu và các bản vá nhỏ.

Vì sao DCO là đường đứt gãy

Cả lệnh cấm cứng rắn của Flathub lẫn sự nới lỏng thận trọng của QEMU đều xoay quanh cùng một câu hỏi pháp lý chưa có lời giải: điều gì xảy ra khi mã do AI tạo ra phải đối mặt với Chứng nhận Nguồn gốc Nhà phát triển (DCO)?

DCO yêu cầu người đóng góp phải xác nhận rằng họ đã tạo ra đóng góp đó hoặc có quyền gửi nó theo giấy phép của dự án. Nhưng theo luật hiện hành, mã do AI tạo ra không có tác giả là con người có thể xác định được. Văn phòng Bản quyền Hoa Kỳ đã ra phán quyết vào tháng 1 năm 2025 rằng các sản phẩm đầu ra của AI chỉ có thể được đăng ký bản quyền khi có con người đóng góp "các yếu tố biểu đạt đủ lớn" – và chỉ đưa ra yêu cầu (prompt) là không đủ . Trong vụ Thaler v. Perlmutter, Tòa án Phúc thẩm Khu vực D.C. đã khẳng định vào tháng 3 năm 2025 rằng "Đạo luật Bản quyền yêu cầu tất cả các tác phẩm đủ điều kiện phải được tạo ra bởi một con người ngay từ đầu", và đến tháng 3 năm 2026, Tòa án Tối cao đã từ chối xem xét các kháng nghị tiếp theo .

Điều này tạo ra một tình thế tiến thoái lưỡng nan. Một nhà phát triển gửi mã do AI tạo ra có thể không trung thực ký vào DCO. Phản ứng của nhân Linux – được chính thức hóa vào tháng 4 năm 2026 với chính sách đầu tiên về trợ lý lập trình AI – là yêu cầu chỉ con người mới được thêm thẻ Signed-off-by và con người đó phải chịu hoàn toàn trách nhiệm pháp lý cho tất cả các dòng mã do AI tạo ra . Nhưng lệnh cấm ban đầu của QEMU lập luận rằng việc khẳng định tuân thủ DCO đối với mã AI là "không được coi là đáng tin cậy" do sự mơ hồ về cấp phép .

Chưa có tòa án nào phân xử dứt khoát liệu mã do AI tạo ra có thể được đăng ký bản quyền hay không, ai nắm giữ những quyền đó nếu có, hay những nghĩa vụ cấp phép nào đi kèm. Các dự án đang tự đưa ra các tính toán rủi ro của riêng mình vì hệ thống pháp lý chưa cung cấp cho họ một câu trả lời rõ ràng.

Cái giá con người vượt xa vấn đề bản quyền

Cuộc tranh luận pháp lý là quan trọng, nhưng chính sự kiệt sức của người bảo trì mới là điều đẩy Flathub đến giới hạn cuối cùng. Những người bảo trì trên nhiều dự án đều báo cáo cùng một mô thức: các bài gửi do AI tạo ra thường có khối lượng lớn nhưng nông cạn – những thay đổi lớn (diff) nhưng ít sự am hiểu thực sự – tạo ra gánh nặng kiểm duyệt không tương xứng với giá trị của chúng .

Các tiện ích mở rộng của GNOME Shell từng đối mặt với một làn sóng tương tự. Vào cuối năm 2025, những người kiểm duyệt báo cáo rằng có ngày họ nhận được hơn 15.000 dòng mã tiện ích mở rộng do AI tạo ra, cùng với đó là những phản hồi do AI tạo ra cho các câu hỏi kiểm duyệt . Người bảo trì Flathub, Piotrowski, đã tóm tắt điểm giới hạn một cách thẳng thắn, rằng chính sách này là cần thiết vì một số người gửi "đơn giản là không biết cách giao tiếp cho đúng mực" .

Cái giá con người không thể tách rời khỏi cái giá pháp lý. Câu hỏi về DCO quan trọng bởi vì những người bảo trì phải đối mặt với trách nhiệm pháp lý thực sự đối với mã mà họ chấp nhận. Câu hỏi về sự kiệt sức quan trọng bởi vì những người bảo trì là tình nguyện viên hoạt động với quỹ thời gian và thiện chí eo hẹp. Các bài gửi do AI tạo ra cùng một lúc gây áp lực lên cả hai.

Ba phe phái, không có sự đồng thuận

Một phân tích của RedMonk vào tháng 2 năm 2026 đã khảo sát 32 tổ chức nguồn mở và không tìm thấy sự đồng thuận nào đang hình thành . Các dự án đã phân chia thành ba phe phái chính:

• Cấm toàn diện: Flathub, Gentoo (hội đồng bỏ phiếu nhất trí năm 2024), NetBSD (gọi mã AI là "bị coi là ô nhiễm"), và hệ thống kiểm duyệt EGO của GNOME đều cấm hoàn toàn các đóng góp do AI tạo ra .
• Chấp nhận có điều kiện và công khai: Đề xuất của QEMU sẽ đưa họ vào cùng nhóm với Apache, Fedora, Linux Foundation và EFF, tất cả đều cho phép sử dụng AI với yêu cầu gắn nhãn bắt buộc và theo quyết định của người bảo trì .
• Cởi mở hơn với trách nhiệm giải trình của con người: Nhân Linux và Red Hat cho phép sử dụng AI nếu nhà phát triển con người chịu hoàn toàn trách nhiệm, ký DCO và gắn thẻ công cụ đã sử dụng – nhưng thẻ Signed-off-by vẫn được dành riêng cho con người .

Các phe phái này không chỉ bất đồng về chính sách. Họ bất đồng về việc liệu mã AI là một công cụ cần được quản lý hay một mối đe dọa cần phải loại trừ – và về việc liệu chi phí quản lý nó sẽ đổ lên vai những người bảo trì hay một hệ thống pháp lý chưa sẵn sàng.

Điều gì sẽ xảy ra tiếp theo

Flathub và QEMU không phải là những trường hợp ngoại lệ. Họ là những điểm dữ liệu trên một phổ rộng sẽ tiếp tục mở rộng khi các công cụ lập trình AI cải thiện và khối lượng bài gửi được tạo ra ngày càng tăng. Một số nhà quan sát nhận định rằng việc phát hiện mã do AI tạo ra sẽ trở nên bất khả thi về mặt chức năng trong vòng một hoặc hai năm tới, điều này sẽ khiến các lệnh cấm trở nên không thể thực thi bất kể mục đích của chúng là gì .

EFF đã kết luận rằng một lệnh cấm toàn diện là không thực tế để thực thi, xét đến mức độ phổ biến của việc sử dụng LLM hiện nay . Nhưng việc không thể thực thi trong thực tế không giải quyết được vấn đề kiệt sức, nguyên nhân chính dẫn đến quyết định của Flathub ngay từ đầu.

Cho đến khi các phán quyết của tòa án hoặc luật pháp thiết lập các quy tắc rõ ràng về quyền tác giả và trách nhiệm pháp lý đối với mã do AI tạo ra, mọi dự án nguồn mở về cơ bản đều đang tự mình đặt cược. Flathub chọn bảo vệ những người kiểm duyệt của mình ngay bây giờ, với cái giá phải trả là đóng cánh cửa với các công cụ AI. QEMU đang chọn cách hé mở cánh cửa một cách hạn hẹp, với yêu cầu minh bạch và đặt cược rằng rủi ro pháp lý có thể quản lý được đối với các đóng góp có mức độ rủi ro thấp. Cả hai động thái đều hợp lý dựa trên thông tin sẵn có. Chúng chỉ phản ánh những câu trả lời khác nhau cho cùng một câu hỏi đầy bất an: trong một cộng đồng được xây dựng trên nền tảng tác giả là con người và sức lao động tình nguyện, bạn sẽ làm gì khi mã nguồn đến mà không có cả hai thứ đó?