KeePassXC разъясняет политику в отношении ИИ: используется только при разработке, но не в приложении

Команда разработчиков популярного кроссплатформенного менеджера паролей с открытым исходным кодом KeePassXC (https://keepassxc.org/) подробно объяснила, как искусственный интеллект используется в процессе разработки, ответив на вопросы сообщества, возникшие после недавнего обновления политики участия в проекте, а точнее, в аспектах, связанных с искусственным интеллектом.

В своём заявлении команда подчёркивает, что ИИ помогает разработчикам в процессе проверки и составления черновиков, но код, сгенерированный ИИ, не встраивается в кодовую базу KeePassXC. Само приложение полностью написано людьми и продолжает соответствовать строгим стандартам безопасности, которых ожидают пользователи.

Вот как именно это происходит. Пять сопровождающих имеют право объединять пулл-реквесты, причём двое из них являются основными сопровождающими. Каждое предложение — независимо от того, написано ли оно новичком, опытным разработчиком или сопровождающим, — отправляется через GitHub, проходит непрерывную интеграцию и проверяется построчно.

Слияние блокируется до тех пор, пока его не одобрит хотя бы один сопровождающий, а если изменение внесено самим сопровождающим, то его должен проверить другой сопровождающий. В то же время разработчики выделяют два узких, контролируемых способа использования ИИ:

• В качестве дополнительного средства проверки инструменты на базе ИИ могут обобщать изменения в коде и выявлять потенциальные проблемы. Эти предложения служат лишь дополнительным «взглядом со стороны», дополняющим существующие проверки CI, такие как модульные тесты, анализ памяти и статический анализ кода.
• Для составления простых, узкоспециализированных запросов на вытягивание такие инструменты, как GitHub Copilot, могут предлагать шаблонный код, простые исправления ошибок или тестовые макеты. Затем разработчики дорабатывают эти черновики с помощью последующих коммитов и проверяют их с той же тщательностью, что и любой другой вклад.

По словам разработчиков, в обоих случаях ИИ никогда не заменяет проверку человеком. Каждое изменение тщательно изучается, тестируется и объединяется в один коммит перед отправкой в основную ветку. В ответ на предположения о более широкой интеграции ИИ команда KeePassXC чётко обозначила свою позицию: «В KeePassXC нет функций ИИ и никогда не будет».

Чтобы внести ясность, команда подчёркивает, что в проекте не будет использоваться ИИ для переписывания, рефакторинга или влияния на критически важные для безопасности компоненты. Такие чувствительные области, как криптография, остаются под строгим запретом, и команда отвергает любые заявления о том, что KeePassXC «кодируется с помощью вибрации». Вместо этого ИИ используется ограниченно и только там, где он не может негативно повлиять на безопасность конечного продукта.

В статье также затрагивается ещё одна интересная проблема: может ли ИИ генерировать вредоносный или обманчиво чистый код? В связи с этим позиция KeePassXC более прагматична. Разработчики утверждают, что качество кода определяется его корректностью, а не личностью автора.

По их мнению, ошибочный фрагмент кода, скопированный с форума, ничем не отличается от ошибочного предложения ИИ, но и то, и другое выявляется в ходе установленного процесса проверки и тестирования. Кроме того, они отмечают, что опытный диверсант-человек гораздо опаснее, чем универсальная языковая модель, и недавние атаки на цепочки поставок подтверждают это.

Более подробную информацию можно найти в объявлении о выпуске KeePassXC: https://keepassxc.org/blog/2025-11-09-about-keepassxcs-code-quality-control/.

Редактор: AndreyEx