曾几何时，提交一个开源项目的 Pull Request（PR）还算得上是技术诚意的试金石——你得读懂代码、理解项目、动手实现，这一系列「摩擦成本」天然过滤掉了大量浑水摸鱼之辈。可如今，生成式 AI 把这层门槛碾得粉碎。

Mitchell Hashimoto，这位以创建 Vagrant、Packer 和 Terraform 而闻名的开发者，最近发布了一个叫 Vouch 的工具，试图给失控的开源贡献系统装上刹车。项目的 README 毫不客气地写道：「AI 工具让人们能轻松制造出看似合理实则质量极低的贡献，贡献者不再能仅凭提交代码的最低门槛就被信任。」说白了，就是 AI 生成的垃圾代码多到让维护者崩溃，必须换个玩法。

熟人社会卷土重来

Vouch 的核心逻辑简单得近乎粗暴：想贡献代码？先找人担保你。

每个项目维护一份纯文本名单，格式自创的 .td（Trustdown）文件，一行一个用户名。被列名的算「被担保」，前面加个减号的就是「被谴责」，后者提交的 issue 和 PR 会被自动关闭。项目成员可以通过 GitHub 评论指令实时更新名单：vouch @someuser "这人是真懂 Go 并发" 或 denounce @botmaster "连续发了 50 个 AI 生成的文档修改"。

最引人注目的是「信任网」设计。项目 A 可以主动导入项目 B 的担保名单——既然我们都信任 B 的维护者，那 B 信任的人我们也可以默认放行。这听起来像是一种去中心化的声誉系统，但熟悉互联网历史的人会立刻警觉：这不是三十年前 PGP 的 Web of Trust 吗？ 那个试图通过熟人签名来验证身份的系统，最终因「信任只取决于网络中最松懈的那个节点」而失败。如今在 AI 时代，这个幽灵又被挖了出来。

技术实现：轻量但粗糙

Vouch 的工程设计走极简路线。它用 Nushell 脚本实现，依赖只有这个 shell 本身，零外部库。名单文件用纯文本，用 grep 都能查，用 git diff 都能追踪变更。提供 GitHub Actions 开箱即用：检查 PR 作者是否在名单、自动关闭未担保贡献、通过 issue 评论管理名单等。

但这种极简主义也引来尖锐批评。有开发者指出，文件格式连「谁担保的」都不存，没有溯源信息。一旦某个被担保者变成恶意账号，想批量撤销其下游所有担保链，只能人肉审查 git 历史。更严重的是，系统默认信任「写权限协作者」，但现实中协作者账号被盗、被收买的情况并不少见——XZ 后门事件证明，即使是德高望重的长期贡献者也可能被渗透。

争议焦点：新人已死，人脉当立

Hacker News 讨论区里最激烈的反弹，指向一个核心问题：这系统把开源变成了精英俱乐部。

一位评论者写道：「现在连改个注释错别字都得先在讨论区混脸熟？没有社交能力的死宅天才活该被拒之门外？」确实，Vouch 的门槛不像代码审查，而是社交审查。Mitchell 在自己的 Ghostty 项目里规定：未担保者提交的 PR 会被自动关闭，唯一的「合法」路径是先开 issue 讨论，等人担保后才能贡献。

反对者认为，这彻底背离了开源的「meritocracy」（凭本事吃饭）精神。过去，一段优质的代码本身就是通行证；现在，代码再好，没人脉也白搭。而 AI 垃圾制造者最不缺的就是批量造假人脉的时间和动机——他们可以创建大量账号互相担保，用时间换信任，最终混入网络。好人被门槛卡住，坏人总能找到漏洞，这才是最讽刺的。

支持者反驳：在 AI 洪水面前，开源早已不是「有教无类」的理想国。维护者的时间被无意义审查耗尽，项目质量才是第一优先。Vouch 只是把原本隐性的社会规则显性化——以前你得混熟脸才能合并 PR，现在只是把「刷脸」写进了配置文件。

脑洞大开的替代方案

面对同样的问题，社区涌现出各种更极端的设想：

付费墙方案：提交 PR 先交 1 美元押金，合并后退款。支持者认为这能瞬间过滤 99% 的 AI 垃圾——毕竟脚本不会心疼钱。反对者怒斥：「穷国开发者怎么办？学生党怎么办？我们为开源做贡献还得先交钱？」

区块链方案：用智能合约质押代币，PR 被拒则代币销毁或捐给慈善。有人觉得这是加密货币唯一的正确用法，但更多人吐槽：「把代码审查变成金融游戏，只会让维护者为了赚币而恶意拒绝 PR，彻底扭曲开源的协作本质。」

人机混合 CAPTCHA：强制要求贡献者在视频通话中解释自己的代码，证明「灵魂存在」。有项目已经这么干——FOSS 实习申请者必须屏幕共享讲解补丁，以此筛掉连代码都看不懂的 AI 代理。但这显然无法规模化。

传统路径回归：Linux 内核的树状维护模式被重新提及。你不是直接向 Linus 提 PR，而是经过层层 lieutenant 审查，每级只信任直接下属。这和 Vouch 异曲同工，只是更等级森严。

本质：技术方案解决社会问题的困境

Vouch 暴露了开源社区一个深层矛盾：我们试图用技术手段解决社会信任危机。

代码审查、CI 测试、行为准则（CoC）都是事后审查——PR 已经提交，维护者的时间已经被消耗。Vouch 想事前过滤，但过滤标准从「代码质量」滑向了「社会关系质量」。一位评论者尖锐指出：「我们 nerds 总想用技术解决人的问题，结果只是把问题从『审查代码』转移到『审查人』，而后者更复杂、更易滋生腐败。」

更悲观的看法是，这标志着「开源黄金时代的终结」。当 AI 让代码本身失去稀缺性，社区只能退守到「身份稀缺性」——真人的社交资本。Ghostty 项目早期甚至采用邀请制，只有 Mitchell 的推特朋友圈能用，被批评为「把技术产品变成了社交货币」。

在项目说明里，Mitchell 承认这是一个「实验系统」，根据反馈持续改进。他在 HN 上亲自回应：「这只是减少噪音的层，不是完美方案。下游项目可以自行决定保护强度。」当被指责「不在乎开源社区」时，他平静回答：「我尊重各种偏好，你不喜欢可以不用。」

写在最后

Vouch 是否为开源续命，还是让它更快走向封闭，尚无定论。可以确定的是，AI 已经彻底改变了开源的供需关系。过去是贡献者稀缺，维护者欢迎任何帮助；现在是贡献泛滥，维护者时间成为最稀缺的资源。

或许未来的常态是混合模式：大型项目用 Vouch 或类似机制构建护城河，中小型项目继续开放试错，而新人必须在某个角落证明自己，积累「社交信用」，才能进入核心圈。技术的初心是让所有人平等协作，但当工具让恶意变得廉价时，社区不得不筑起高墙。

正如一位开发者总结：「这不是好坏问题，这是一个时代的结束。我们正在为过去的开放付出代价，而 Vouch 不过是我们仓促拿起的灭火器。」