开源项目PR刷履历？vLLM项目维护者揭露辅导班造假手法

当开源项目的Pull Request（PR）被批量制造为一种“简历镀金”服务，无偿维护者将面临怎样的挑战？近期，vLLM社区的遭遇提供了一个典型案例。

项目核心贡献者游凯超指出，某职业辅导机构指导学员提交了一个解决“伪需求”的PR。该PR内容空洞，并通过@大量维护者的方式博取关注。其目的明确：利用维护者的审查与合并，为学员简历增添不实的项目贡献记录，而由此产生的无效审查成本，则完全转嫁给了社区。

所幸，在该PR被合并及相关宣传发布后，社区成员迅速识别并举报了此行为，遏制了负面影响。

事件揭示出一条清晰的链条：辅导机构收费教学，学员按模板提交PR，维护者提供无偿的技术审查，最终学员简历获得美化。在这场交易中，开源社区成为了被单方面消耗的资源。而AI Agent的普及，正加剧这一问题的复杂性。

AI批量制造的低质量PR正在消耗开源社区

vLLM面临的问题并非个例，它正在整个开源生态中蔓延。

游戏引擎Godot的首席维护者Rémi Verschelde表示，AI生成的低质量PR令人疲惫且沮丧。其同事Adriaan de Jongh的描述更为直接：这些PR的修改常常逻辑混乱，描述冗长却空洞，提交者自身甚至无法理解生成的代码——这完全是在制造噪音。

那么，提交这些低质量PR的动机是什么？

第一类：简历镀金。

GitHub的贡献热力图，已成为程序员求职时常见的资历证明。在vLLM、PyTorch等知名项目的贡献者列表中留下记录，能为简历增色不少。AI工具的出现，使得批量制造此类“贡献记录”的成本趋近于零。

第二类：套取赏金。

许多开源项目设有漏洞赏金计划。例如，cURL项目在HackerOne平台对严重漏洞的奖励可达10000美元。过去，发现有效漏洞需要深厚的技术功底；如今，利用AI向大量项目批量提交“看似合理”的报告，只要有一两份被判定有效，收益便相当可观。

当然，并非所有行为均属恶意。也存在部分真心希望协助的开发者，他们借助AI分析代码并生成PR，但未经验证便直接提交。他们可能并不完全理解代码逻辑，也无法判断AI修改的正确性。这类“善意的低质量提交”，同样会耗费维护者大量精力进行甄别与沟通。

所有这些情形，都指向一个核心矛盾：AI极大降低了提交贡献的门槛，却丝毫没有减轻审查贡献的成本。过去，理解代码库、梳理逻辑并编写有效补丁的过程，本身构成一道天然的质量过滤器。AI绕过了这道过滤器，却将全部的筛选压力转移到了维护者肩上，而后者往往是利用业余时间工作的志愿者。

若放任此情况发展，开源社区的可持续性将面临风险。因此，不少社区已开始采取应对措施。

例如，vLLM社区实施了“惩罚与优化”并举的策略：一方面封禁涉及不当行为的贡献者；另一方面优化流程，为使用可验证的公司或教育邮箱、并能提供真实应用场景的PR建立优先审查通道。

cURL的维护者Daniel Stenberg则采取了更进一步的措施。他不仅关闭了运行多年的公开赏金项目，还在PR审查流程中部署了多个AI审查机器人，使其能在非工作时间自动运行，捕捉人类审查者可能遗漏的问题模式。

绘图工具tldraw的做法更为激进，直接宣布了一项临时政策：自动关闭所有外部贡献者提交的Pull Request。这意味着，所有未经团队主动邀请的代码提交，默认不会进入审查流程，仅在被团队认可后才会被重新开启。

这实质上是在推动开源社区转向“了解你的贡献者”模式——必须明确贡献者身份及其贡献动机，才能实现高效协作。

平台困境：GitHub的角色与挑战

在此次危机中，代码托管平台GitHub的角色显得微妙。

一方面，GitHub是AI编程工具的积极推广者，其Copilot已深度集成至开发流程；另一方面，恰恰是GitHub的平台设计与激励机制，在某种程度上助长了“低质量AI PR”的泛滥。

有开发者尖锐指出：“平台本身的机制就在变相鼓励此类行为。”例如，由Copilot自动生成的漏洞报告，会以提交者个人名义直接发出，且无任何AI参与标注，这使得维护者难以从源头进行区分。

不满情绪正在积累。Linux发行版Gentoo已开始将部分代码仓库从GitHub迁移至Codeberg，其公开理由之一，便是对平台强推AI工具策略的担忧。

面对社区压力，GitHub工程师在官方博客中承认了“大规模低质量贡献”的问题，但措辞谨慎，避免直接归咎于AI。他们承诺将逐步推出应对工具，包括：直接从界面拒绝PR的功能、限制外部贡献者权限的机制，以及设立“提交门槛”，例如要求PR必须关联一个已存在的Issue才能被接受。

与此同时，社区独立开发者也已行动起来。一款名为“Anti Slop GitHub Action”的工具宣称能自动识别并拦截大部分低价值PR；另一款“PR Slop Stopper”则通过分析提交者的GitHub历史、账号信誉、过往贡献成功率等多维度数据，为每个PR计算“可信度评分”。

开源社区的运作，长久以来依赖于一种隐性的社会契约：贡献者带着真实的改进意图而来，维护者以专业与善意予以回应。当这种善意被系统性地利用与消耗，整个生态赖以生存的信任基础便会受到侵蚀。

对于那些希望通过“刷PR”走捷径为简历镀金的人，或许更应思考：当维护者的信任被透支殆尽，你简历上那个开源项目的贡献记录，究竟还剩余多少实际价值？