开源项目刷PR镀金乱象 vLLM项目险遭简历造假者破坏

当为开源项目提交PR（Pull Request）演变为一种可批量复制的“流水线操作”，那些无偿维护项目的开发者将面临何种挑战？近期，vLLM社区的遭遇为我们提供了一个鲜活案例。

该项目核心贡献者游凯超在社交平台披露，某职业辅导机构指导学员提交了一个旨在解决“虚构问题”的PR。该PR内容空洞，并通过@大量维护者的方式博取关注。其目的明确：试图利用维护者的善意审查与合并操作为学员简历“镀金”，而由此产生的无效审查工作，则成为社区必须承担的实际负担。

所幸，在该PR被合并及相关宣传帖发布后，社区成员迅速识别并举报了此行为，遏制了负面影响的扩散。

整个事件勾勒出一条清晰的“产业链”：辅导机构收费教学，学员按模板提交PR，维护者提供无偿的技术背书，最终简历获得美化。在这场交易中，唯独开源社区本身，成为了被单方面消耗的“资源”。而AI智能体的普及，正使得这一问题日趋严峻。

AI批量制造的低质量PR，正在拖垮开源社区

vLLM遇到的问题并非个例，类似情景正在整个开源生态中同步上演。

游戏引擎Godot的首席维护者Rémi Verschelde在Bluesky上坦言，AI生成的低质量PR令人“精疲力竭且沮丧”。其同事Adriaan de Jongh的描述更为直接：这些PR的修改常缺乏逻辑，描述冗长却空洞，提交者自身甚至无法理解所生成的代码——状况堪称混乱。

那么，提交这些低质量PR的动机究竟何在？

第一类：简历镀金。

GitHub的贡献热力图，早已成为程序员求职时颇具分量的“能力证明”之一。若能在vLLM、PyTorch、Linux等知名项目的贡献者列表中留下记录，在简历中标注“Contributor to XXX”，其含金量不言而喻。而AI工具的出现，使得批量制造此类“贡献记录”的成本趋近于零。

第二类：获取赏金。

众多开源项目设有漏洞赏金计划，依据有效报告进行奖励。例如，著名的cURL项目在HackerOne平台上的悬赏计划，对严重漏洞的奖励高达10000美元。以往，发现一个真实漏洞需要极高的技术门槛；如今，利用AI向数十个项目批量生成“看似合理”的漏洞报告，只要其中一两份被判定有效，收益便相当可观。

当然，并非所有行为皆出于恶意。也存在部分真心希望协助的开发者，他们借助AI分析项目代码并生成PR，随后未经仔细核查便直接提交。他们可能并未完全理解代码修改内容，也无从判断AI的修改是否正确。这类“善意的低质量提交”，同样会消耗维护者大量精力进行辨别与沟通。

所有这些情形背后，均指向一个根本矛盾：AI几乎消除了“提交贡献”的成本，却丝毫未减少“审查贡献”的成本。在过去，理解代码库、梳理逻辑、编写可用补丁的过程，本身构成一道天然的质量过滤器。AI绕过了这道过滤器，却将全部的筛选压力转移至维护者肩上。而后者，往往是利用业余时间工作的志愿者。

若放任此情况蔓延，开源社区的可持续性将面临严峻考验。因此，不少社区已开始采取行动，实施应对策略。

例如，vLLM社区采用了“惩罚与优化结合”的策略：一方面封禁涉及不当行为的贡献者；另一方面优化流程，为使用可验证的公司或教育邮箱、并能提供真实应用场景的PR建立优先审查通道。

cURL的维护者Daniel Stenberg则采取了更进一步的措施。他不仅关闭了运行六年多的公开悬赏项目，还在PR审查流程中部署了三个不同的AI审查机器人，使其能在凌晨自动运行，捕捉人类评审者可能遗漏的问题。

绘图工具tldraw的做法更为彻底，直接宣布了一项临时政策：自动关闭所有外部贡献者提交的Pull Request。这意味着，所有未经团队主动邀请的代码提交，默认均不会进入审查流程，仅在被团队认可后才会被重新开启。

这实质上是在推动开源社区走向“了解你的贡献者”模式——必须明确贡献者身份及其意图，方能实现高效协作。

平台困境：GitHub的角色与责任

在此次危机中，代码托管平台GitHub的角色显得有些微妙。

一方面，GitHub是AI编程工具最积极的推广者之一，其Copilot已深度集成至开发流程；另一方面，恰恰是GitHub的产品设计与激励机制，在一定程度上助长了“低质量AI PR”的泛滥。

有开发者尖锐指出：“该平台本身就在激励此类行为。”例如，由Copilot自动生成的漏洞报告，会以提交者个人名义直接发出，且无任何AI参与标注，这使得维护者根本无法从源头进行区分。

不满情绪正在累积。Linux发行版Gentoo甚至已开始将部分代码仓库从GitHub迁移至Codeberg，其公开理由之一，便是对平台强力推广AI工具的不满。

面对社区压力，GitHub工程师在官方博客中承认了“大规模低质量贡献”的问题，但措辞谨慎，避免将矛头直接指向AI。他们承诺将逐步推出应对工具，包括：直接从界面移除PR的功能、限制外部贡献者权限的机制，以及设立“准入门槛”，例如要求PR必须关联一个已存在的Issue方可提交。

与此同时，社区的独立开发者们也已行动起来。一款名为“Anti Slop GitHub Action”的工具宣称能自动识别并关闭98%的垃圾PR；另一款“PR Slop Stopper”则通过分析提交者的GitHub历史、账号年限、过往贡献成功率等多维度数据，为每个PR计算出一个“可信度评分”。

开源社区的运作，长久以来依赖于一种隐性的社会契约：贡献者带着真实的问题或改进而来，维护者以专业与善意予以回应。当这种善意被系统性地利用与消耗，整个生态赖以存续的信任基础便会逐渐松动。

对于那些希望通过“刷PR”走捷径为简历镀金的人而言，或许更值得深思的问题是：当维护者的信任被透支殆尽，你简历上那个开源项目的贡献记录，究竟还剩余多少价值？