EFF新政策：要求開發者對AI生成代碼負責，解決代碼質量問題

電子前沿基金會（EFF）周四更改了其關于AI生成代碼的政策，明確要求貢獻者理解他們提交的代碼，并且注釋和文檔必須由人類編寫。

政策細節與實施方式

EFF政策聲明在如何確定合規性方面較為模糊，但分析師和其他觀察人士推測抽查是最可能的途徑。該聲明特別提到，組織并不禁止貢獻者使用AI編程，但似乎對此有所保留，表示這樣的禁令"違背了我們的一般理念"，而且AI當前的流行使得這種禁令存在問題。EFF表示："AI工具的使用變得如此普遍，全面禁令實際上無法執行。"該組織補充說，創建這些AI工具的公司"為了利潤而忽視人們的利益。我們再次陷入'只管相信我們'的大科技公司對其掌握的權力含糊不清的境地。"

抽查模式類似于稅務部門的策略，對被審計的恐懼讓更多人遵守規定。

專家觀點與建議

網絡安全顧問、FormerGov執行董事Brian Levine表示，新方法可能是EFF的最佳選擇。"EFF試圖要求AI無法提供的一件事：問責制。這可能是首次真正嘗試讓模糊編程在規模上可用的努力。如果開發人員知道他們要為粘貼的代碼負責，質量標準應該會快速提高。護欄不會扼殺創新，它們防止整個生態系統淹沒在AI生成的垃圾中。"

他補充說："執行是困難的部分。沒有魔法掃描器能夠可靠地檢測AI生成的代碼，可能永遠不會有這樣的掃描器。唯一可行的模式是文化性的：要求貢獻者解釋他們的代碼，證明他們的選擇，并證明他們理解他們提交的內容。你不能總是檢測到AI，但你絕對能檢測到某人不知道他們發布了什么。"

EFF發言人、高級技術專家Jacob Hoffman-Andrews表示，他的團隊并不專注于驗證合規性的方法，也不專注于懲罰不合規者的方法。"貢獻者數量很少，我們只是依靠信任。"如果團隊發現有人違反規則，會向此人解釋規則并要求他們努力遵守。"這是一個有文化和共同期望的志愿者社區。我們告訴他們，'這是我們對你行為的期望。'"

Info-Tech Research Group首席研究總監Brian Jackson表示，企業可能會享受到像EFF這樣的政策帶來的次要好處，這將改善許多開源提交的質量。許多企業不必擔心開發人員是否理解他們的代碼，只要它通過詳盡的測試列表，包括功能性、網絡安全和合規性測試。"在企業層面，存在真正的問責制和真正的生產力提升。這段代碼是否向不需要的第三方泄露數據？安全測試是否失敗？他們關心沒有達到的質量要求。"

低質量代碼問題被企業和其他商業機構使用，通常被稱為"AI垃圾"，這是一個日益嚴重的問題。

技術實施與效果分析

Landing Point首席工程師Faizel Khan表示，EFF決定專注于文檔和代碼解釋，而不是代碼本身，是正確的做法。"代碼可以通過測試和工具驗證，但如果解釋錯誤或誤導，會創造持久的維護債務，因為未來的開發人員會信任文檔。這是大語言模型最容易聽起來自信但仍然不正確的地方之一。"

Khan建議了一些提交者需要被迫回答的簡單問題："提供有針對性的審查問題。為什么使用這種方法？你考慮了哪些邊緣情況？為什么這些測試？如果貢獻者無法回答，就不要合并。要求PR摘要：什么改變了，為什么改變，關鍵風險，以及哪些測試證明它有效。"

前沃爾瑪網絡安全、風險和合規總監Steven Eric Fisher表示，EFF巧妙地做的是不那么關注代碼本身，而是關注整體編程完整性。"EFF的政策是將完整性工作推回給提交者，而不是讓開源軟件維護者承擔全部負擔和驗證。"他指出，當前的AI模型在詳細文檔、注釋和清晰解釋方面表現不佳。"所以這種缺陷起到了限速器的作用，在某種程度上也是工作閾值的驗證。"他補充說，這可能在現在是有效的，但只是在技術發展到能夠產生詳細文檔、注釋和推理解釋的程度之前。

Garnett Digital Strategies創始人Ken Garnett同意Fisher的觀點，認為EFF采用了可能被認為是柔道式的策略。EFF"在很大程度上完全回避了檢測問題，這正是它的優勢所在。他們沒有試圖事后識別AI生成的代碼，這是不可靠和越來越不切實際的，而是做了更根本的事情：他們重新設計了工作流程本身。問責檢查點已被移到上游，在審查者接觸工作之前。"

審查對話本身充當執行機制。如果開發人員提交他們不理解的代碼，當維護者要求他們解釋設計決策時，他們會暴露出來。

這種方法提供"披露加信任，選擇性審查"，Garnett說，注意到政策通過披露要求將激勵結構轉移到上游，通過人工編寫文檔規則獨立驗證人類問責制，并依靠抽查處理其余部分。

思科首席工程師、安全AI聯盟（CoSAI）成員和ACM AI安全（AISec）項目委員會成員Nik Kale表示，他喜歡EFF的新政策，正是因為它沒有做顯而易見的舉動試圖禁止AI。"如果你提交代碼但在被問及時無法解釋，那就是政策違反，無論是否涉及AI。這實際上比基于檢測的方法更容易執行，因為它不依賴于識別工具。它依賴于識別貢獻者是否能為他們的工作承擔責任。對于關注這一點的企業來說，啟示很簡單。如果你在使用開源軟件，每個企業都在使用，你應該深切關心你依賴的項目是否有貢獻治理政策。如果你在內部生產開源軟件，你需要一個自己的政策。EFF的方法，披露加問責制，是一個可靠的模板。"

Q&A

Q1：EFF的新AI代碼政策主要要求什么？

A：EFF新政策明確要求貢獻者必須理解他們提交的代碼，并且所有注釋和文檔必須由人類編寫。該政策不是完全禁止AI編程，而是要求開發者對代碼承擔責任。

Q2：如何確保開發者遵守這個新政策？

A：EFF主要依靠信任和抽查機制，類似于稅務審計策略。如果發現違規，會解釋規則并要求遵守。關鍵是要求開發者能夠解釋代碼設計決策和功能實現。

Q3：為什么專注于文檔和解釋而不是檢測AI生成的代碼？

A：因為目前沒有可靠的方法檢測AI生成的代碼，而且AI模型在詳細文檔和解釋方面表現較差。專注于要求人類理解和解釋代碼更實際有效。