Linus Torvalds vừa nói với cả thế giới: Bạn phải chịu trách nhiệm cho mọi dòng mã AI trong nhân Linux

• Các tác nhân AI không được thêm thẻ Signed-off-by. Thẻ này là Chứng nhận Nguồn gốc Lập trình viên (DCO – một cam kết pháp lý quan trọng trong các dự án mã nguồn mở), và chính sách này quy định rõ ràng rằng chỉ con người mới có thể chứng nhận nó một cách hợp pháp . Một AI không có tư cách pháp nhân.
• Một thẻ Assisted-by (Được-Hỗ-Trợ-Bởi) mới được khuyến nghị, nhưng không bắt buộc. Chính sách này khuyến khích, chứ không ép buộc, các lập trình viên tiết lộ khi họ đã sử dụng một công cụ AI . Mục tiêu là sự minh bạch, không phải là một quy tắc cứng nhắc.
• Con người chịu toàn bộ trách nhiệm pháp lý và kỹ thuật. Người đệ trình bản vá phải chịu trách nhiệm cho mọi dòng mã do AI tạo ra và bất kỳ lỗi hay lỗ hổng bảo mật nào phát sinh từ đó . Không có ngoại lệ.
• Khả năng tương thích giấy phép là không thể thương lượng. Tất cả mã do AI tạo ra trong các đóng góp phải tương thích với giấy phép GPL-2.0-only của nhân . Đây là biện pháp bảo vệ chống lại sự lây nhiễm giấy phép tiềm ẩn từ các mô hình AI được huấn luyện trên mã nguồn có giấy phép xung đột.

Cách tiếp cận của Torvalds thẳng thắn một cách đặc trưng. Ông gọi những cuộc tranh luận bất tận về AI trong tài liệu là "sự tạo dáng vô nghĩa" và tuyên bố rằng tài liệu là dành cho "những người tử tế", chứ không phải những kẻ dù sao cũng sẽ gửi thư rác AI . Ông lập luận rằng cách phòng thủ thực sự là "ai cũng có thể gửi rác, nhưng các nhà bảo trì có thể bỏ qua nó" . Do đó, chính sách này được thiết kế để trang bị cho các nhà bảo trì—không phải để ngăn chặn những kẻ xấu, mà để tạo ra một khuôn khổ nơi những người tử tế hành động có trách nhiệm.

Điểm bùng phát: Làn sóng 'thư rác' lỗi AI "không thể quản lý nổi"

Nếu chính sách đệ trình mã nguồn mang tính chủ động, thì quy định báo cáo bảo mật là một phản ứng trực tiếp trước một cuộc khủng hoảng. Vào tháng 5 năm 2026, Torvalds đã công khai tuyên bố rằng danh sách gửi thư bảo mật riêng của nhân Linux đã trở nên "gần như hoàn toàn không thể quản lý nổi" . Nguyên nhân là một lượng lớn các báo cáo lỗ hổng bảo mật do AI tạo ra.

Đây không phải là những phát hiện chất lượng cao. Chúng là những báo cáo "đánh nhanh rút gọn", thường bị trùng lặp hoặc hoàn toàn là ảo giác từ những người không hiểu mã nguồn mà họ tuyên bố đang phân tích . Torvalds mô tả chúng đến từ những "người đóng góp chớp nhoáng", những người gửi một báo cáo rồi biến mất, không thèm kiểm tra xem sự cố đã được sửa chưa hay thậm chí không hiểu hệ thống con mà họ đang xem xét .

Tài liệu cập nhật hiện nay quy định một quy tắc đơn giản: nếu bạn tìm thấy một lỗi tiềm ẩn bằng công cụ AI, bạn phải báo cáo nó công khai cho người bảo trì có liên quan. Các báo cáo bị cấm khỏi danh sách bảo mật riêng và phải ở dạng văn bản thuần túy, súc tích, và bao gồm một phương pháp đã được xác minh để tái tạo lỗi . Sở thích của Torvalds thậm chí còn mạnh mẽ hơn: ông muốn những người đóng góp tìm thấy vấn đề thực sự phải hiểu sâu sắc vấn đề đó và gửi một bản vá để sửa nó, chứ không chỉ gửi một báo cáo .

Ba vấn đề nhức nhối mà AI đặt ra cho mã nguồn mở

Hai chính sách của nhân Linux là một mô hình thu nhỏ của những thách thức lớn hơn mà mã do AI tạo ra đặt ra cho tất cả các dự án mã nguồn mở. Cuộc khủng hoảng trên danh sách bảo mật và quy tắc trách nhiệm nghiêm ngặt làm nổi bật ba vấn đề mang tính hệ thống.

1. Tình trạng kiệt sức của nhà bảo trì ở quy mô lớn

Bảo trì mã nguồn mở vốn đã là một hoạt động có tỷ lệ kiệt sức cao với băng thông đánh giá hạn chế. Các công cụ AI nhân khối lượng bài gửi lên gấp nhiều lần, nhưng số giờ làm việc của con người để đánh giá chúng vẫn không đổi . Tỷ lệ tín hiệu trên nhiễu (tỷ lệ giữa thông tin hữu ích và thông tin vô ích) sụp đổ. Câu trả lời của nhân Linux là đặt cược vào việc phân loại: làm cho các quy tắc đủ rõ ràng để các đóng góp chất lượng thấp do AI tạo ra có thể bị bác bỏ một cách nhanh chóng và không cần xin lỗi.

2. Khoảng trống trách nhiệm pháp lý

Việc đảm bảo chất lượng mã nguồn mở truyền thống dựa vào uy tín của lập trình viên và cam kết pháp lý của DCO. Một tác nhân AI không cung cấp được cả hai điều đó. Nó có thể tạo ra mã trông có vẻ đúng nhưng lại sai một cách tinh vi hoặc là đạo văn. Giải pháp của nhân Linux là neo toàn bộ trách nhiệm vào người đệ trình, khiến họ không thể đổ lỗi cho AI cho một bản vá thảm khốc . Tuy nhiên, điều này đặt một gánh nặng quản trị lên con người mà nhiều dự án nhỏ hơn, ít cấu trúc hơn có thể thấy khó để tái tạo hoặc thực thi.

3. Một ngã rẽ cho các Mô hình Ngôn ngữ Lớn (LLMs): Copilot được vào, 'Slop' bị loại

Một chi tiết đáng chú ý trong chính sách mới là một ngoại lệ cụ thể: GitHub Copilot, một trợ lý lập trình AI thuộc sở hữu của Microsoft, được chấp thuận rõ ràng để sử dụng trong các đóng góp cho nhân . Sự phân biệt mà các nhà bảo trì đưa ra không phải là giữa "AI" và "con người", mà là giữa sự phát triển cẩn thận, được hỗ trợ và sự tự động hóa vô trách nhiệm. Thuật ngữ "AI slop" (rác AI) đã trở thành cách gọi tắt chính thức cho cái thứ hai . Điều này tạo ra một thực tế mới khó chịu cho những người đóng góp, nơi cùng một công cụ có thể được sử dụng một cách có trách nhiệm hoặc liều lĩnh, và chỉ có lòng tin của cộng đồng vào lập trình viên mới phân biệt được hai điều đó. Chính sách mới không giải quyết triệt để vấn đề này—nó trao trách nhiệm cho lập trình viên và người bảo trì để họ tự tìm ra cách giải quyết .