电子前沿基金会（EFF）周四更改了其关于AI生成代码的政策，明确要求贡献者理解他们提交的代码，并且注释和文档必须由人类编写。

政策细节与实施方式

EFF政策声明在如何确定合规性方面较为模糊，但分析师和其他观察人士推测抽查是最可能的途径。该声明特别提到，组织并不禁止贡献者使用AI编程，但似乎对此有所保留，表示这样的禁令"违背了我们的一般理念"，而且AI当前的流行使得这种禁令存在问题。EFF表示："AI工具的使用变得如此普遍，全面禁令实际上无法执行。"该组织补充说，创建这些AI工具的公司"为了利润而忽视人们的利益。我们再次陷入'只管相信我们'的大科技公司对其掌握的权力含糊不清的境地。"

抽查模式类似于税务部门的策略，对被审计的恐惧让更多人遵守规定。

专家观点与建议

网络安全顾问、FormerGov执行董事Brian Levine表示，新方法可能是EFF的最佳选择。"EFF试图要求AI无法提供的一件事：问责制。这可能是首次真正尝试让模糊编程在规模上可用的努力。如果开发人员知道他们要为粘贴的代码负责，质量标准应该会快速提高。护栏不会扼杀创新，它们防止整个生态系统淹没在AI生成的垃圾中。"

他补充说："执行是困难的部分。没有魔法扫描器能够可靠地检测AI生成的代码，可能永远不会有这样的扫描器。唯一可行的模式是文化性的：要求贡献者解释他们的代码，证明他们的选择，并证明他们理解他们提交的内容。你不能总是检测到AI，但你绝对能检测到某人不知道他们发布了什么。"

EFF发言人、高级技术专家Jacob Hoffman-Andrews表示，他的团队并不专注于验证合规性的方法，也不专注于惩罚不合规者的方法。"贡献者数量很少，我们只是依靠信任。"如果团队发现有人违反规则，会向此人解释规则并要求他们努力遵守。"这是一个有文化和共同期望的志愿者社区。我们告诉他们，'这是我们对你行为的期望。'"

Info-Tech Research Group首席研究总监Brian Jackson表示，企业可能会享受到像EFF这样的政策带来的次要好处，这将改善许多开源提交的质量。许多企业不必担心开发人员是否理解他们的代码，只要它通过详尽的测试列表，包括功能性、网络安全和合规性测试。"在企业层面，存在真正的问责制和真正的生产力提升。这段代码是否向不需要的第三方泄露数据？安全测试是否失败？他们关心没有达到的质量要求。"

低质量代码问题被企业和其他商业机构使用，通常被称为"AI垃圾"，这是一个日益严重的问题。

技术实施与效果分析

Landing Point首席工程师Faizel Khan表示，EFF决定专注于文档和代码解释，而不是代码本身，是正确的做法。"代码可以通过测试和工具验证，但如果解释错误或误导，会创造持久的维护债务，因为未来的开发人员会信任文档。这是大语言模型最容易听起来自信但仍然不正确的地方之一。"

Khan建议了一些提交者需要被迫回答的简单问题："提供有针对性的审查问题。为什么使用这种方法？你考虑了哪些边缘情况？为什么这些测试？如果贡献者无法回答，就不要合并。要求PR摘要：什么改变了，为什么改变，关键风险，以及哪些测试证明它有效。"

前沃尔玛网络安全、风险和合规总监Steven Eric Fisher表示，EFF巧妙地做的是不那么关注代码本身，而是关注整体编程完整性。"EFF的政策是将完整性工作推回给提交者，而不是让开源软件维护者承担全部负担和验证。"他指出，当前的AI模型在详细文档、注释和清晰解释方面表现不佳。"所以这种缺陷起到了限速器的作用，在某种程度上也是工作阈值的验证。"他补充说，这可能在现在是有效的，但只是在技术发展到能够产生详细文档、注释和推理解释的程度之前。

Garnett Digital Strategies创始人Ken Garnett同意Fisher的观点，认为EFF采用了可能被认为是柔道式的策略。EFF"在很大程度上完全回避了检测问题，这正是它的优势所在。他们没有试图事后识别AI生成的代码，这是不可靠和越来越不切实际的，而是做了更根本的事情：他们重新设计了工作流程本身。问责检查点已被移到上游，在审查者接触工作之前。"

审查对话本身充当执行机制。如果开发人员提交他们不理解的代码，当维护者要求他们解释设计决策时，他们会暴露出来。

这种方法提供"披露加信任，选择性审查"，Garnett说，注意到政策通过披露要求将激励结构转移到上游，通过人工编写文档规则独立验证人类问责制，并依靠抽查处理其余部分。

思科首席工程师、安全AI联盟（CoSAI）成员和ACM AI安全（AISec）项目委员会成员Nik Kale表示，他喜欢EFF的新政策，正是因为它没有做显而易见的举动试图禁止AI。"如果你提交代码但在被问及时无法解释，那就是政策违反，无论是否涉及AI。这实际上比基于检测的方法更容易执行，因为它不依赖于识别工具。它依赖于识别贡献者是否能为他们的工作承担责任。对于关注这一点的企业来说，启示很简单。如果你在使用开源软件，每个企业都在使用，你应该深切关心你依赖的项目是否有贡献治理政策。如果你在内部生产开源软件，你需要一个自己的政策。EFF的方法，披露加问责制，是一个可靠的模板。"

Q&A

Q1：EFF的新AI代码政策主要要求什么？

A：EFF新政策明确要求贡献者必须理解他们提交的代码，并且所有注释和文档必须由人类编写。该政策不是完全禁止AI编程，而是要求开发者对代码承担责任。

Q2：如何确保开发者遵守这个新政策？

A：EFF主要依靠信任和抽查机制，类似于税务审计策略。如果发现违规，会解释规则并要求遵守。关键是要求开发者能够解释代码设计决策和功能实现。

Q3：为什么专注于文档和解释而不是检测AI生成的代码？

A：因为目前没有可靠的方法检测AI生成的代码，而且AI模型在详细文档和解释方面表现较差。专注于要求人类理解和解释代码更实际有效。