Flathub Logo

Flathub verschärft Regeln für KI-generierten Code

Flathub hat seine Richtlinien zur Nutzung generativer KI grundlegend überarbeitet. Ein Commit auf GitHub mit dem Titel »Reword LLM policy to make it clear it’s not allowed« bringt es auf den Punkt: KI-generierter oder KI-unterstützter Code ist ab sofort nicht mehr erwünscht. Das gilt nicht nur für die Apps selbst, sondern auch für den Einreichungsprozess. Aber es gibt eine Ausnahmeregelung.

Neue Richtlinie

Die neue Richtlinie verbietet Anwendungen, die KI-generierten oder KI-unterstützten Code, Dokumentation oder andere Inhalte enthalten – und das gilt nicht nur für den Code selbst. Auch Manifeste, Metadaten, Build-Skripte und sogar der Pull-Request-Text fallen unter das Verbot. Sie gilt nur für neu eingereichte Projekte, nicht für den derzeitigen Bestand.

Der eigentliche Auslöser ist weniger ein technisches Problem als ein menschliches. Maintainer Bart Piotrowski beschrieb auf Mastodon, dass Einreicher mit abgelehnten KI-Projekten teilweise alles andere als höflich reagierten. Linus Torvalds berichtete unterdessen, dass der Security-Reporting-Kanal des Linux-Kernels durch doppelte KI-generierte Bug-Reports kaum noch handhabbar sei, und cURL-Entwickler Daniel Stenberg beendete das Bug-Bounty-Programm seines Projekts, nachdem KI-generierte Einsendungen auf 20 Prozent gestiegen waren.

Kritik an der Ausnahme

Eine Ausnahme ist für reife, gut gepflegte Projekte vorgesehen; bestehende Apps auf Flathub sind ebenfalls nicht betroffen. Kritiker bemängeln allerdings, dass diese Ausnahme kaum transparent geregelt ist und vor allem Open-Source-Projekte trifft, weil proprietäre Anwendungen schlicht nicht auf KI-Nutzung überprüft werden können. Piotrowski selbst geht davon aus, dass die Richtlinie nicht lückenlos durchsetzbar ist, setzt aber darauf, dass sie zumindest den Strom an offensichtlichem Vibe-Coding eindämmt und Reviewern eine klare Grundlage für Ablehnungen gibt.

Teilt den Beitrag, falls ihr mögt

7 Kommentare

  1. Einige Tech-Blogger rechnen damit, dass die Arbeitswelt um 2030 spürbar ins Wanken gerät. Gerade Anwälte, Programmierer und Schriftsteller könnten früh betroffen sein. Bei den Anwälten hält sich mein Mitleid allerdings in Grenzen 😛

    0
  2. Ich entwickle auch privat und stelle meine Programme als Flatpak zur Verfügung. Mittlerweile habe ich auch die Entwicklung mit verschiedenen KIs in meinen Arbeitsablauf integriert.

    Für mich ist es eine sehr große Arbeitserleichterung. So habe ich umlengst in mein Tool SSH-MITM die Funktion hinzugefügt MOSH Sessions aufzuzeichnen. Claude Code hat mich hier sehr gut unterstützt und ohne KI Unterstützung hätte ich vermutlich mehrere Wochen dafür gebraucht. Für ein privates Projekt ist das zu viel Zeit – überhaupt, wenn man auch Familie hat und sich komplett vom sozialen Leben zurückziehen möchte.

    Es ist schon sehr beeindruckend, was man als professioneller Software Entwickler damit schaffen kann. Projekte, für die ich früher mehrere Wochen gebraucht habe, schafft man nun in wenigen Tagen, dass mal ein erster wirklich guter Proof of Concept rausschaut. Dann kann man schon recht gut abschätzen, ob die Richtung passt.

    Auf der anderen Seite sehe ich junge Kollegen, die sich ohne zu hinterfragen alles von der KI erstellen lassen ohne zu hinterfragen ob es auch korrekt ist.
    Früher haben wir Code aus irgendwelchen Foren und Stack Overflow genommen und einfach in unsere Programme reinkopiert. Wir waren damals auch nicht besser als die Jungen heute. Der Unterschied war aber, dass es früher nicht immer funktioniert hat und man dann Freunde oder Kollegen fragen musste, die meist mit schnippischen Kommentaren die Fehler ausgebessert haben.

    Jetzt ist es wesentlich einfacher. Entweder fragt man gleich die KI, die den vollständigen Code schreibt oder man lässt sich Fehler korrigieren und die KI ist sogar noch freundlich dabei – man kann ihr aber auch sagen, dass sie wie die Kollegen früher mit blöden Kommentaren antworten soll wenn man das vermisst 😜

    Ich verstehe somit die Aufregung nicht um KI generierten Code. Für mich ist es einfach gesagt die nächste Evolutionsstufe. Früher hat man Assembler geschrieben, dann sind Sprachen wie C und später C++ gekommen usw.
    Auch die IDEs haben sich weiterentwickelt. Von vi, über Vinyl, emacs, zu dem mittlerweile sehr ausgereiften IDEs, die schon jeden Fehler sofort umfänglich beschreiben und meist sogar beheben können.

    Die Einstiegsschwelle wird mit jeder Evolutionsstufe niedriger. Früher war man mit Assembler quasi eine Art Magier, der in einer vermeintlichen Geheimsprache den Ungetümen von Computern beigebracht haben, was sie tun müssen. Mit Basic konnten viele dann erstmals selber etwas reinschnuppern und auch schon mal kleine Programme schreiben, weil die Schlüsselwörter verständlich wurden.

    Mit KI Unterstützung ändert sich das nun dahingehend, dass man in natürlicher Sprache beschreiben kann, was man will.

    Hier merkt man, wie in jeder Generation die Angst vor dem Neuen. Das ist menschlich. Gewohnte Pfade verlassen ist anstrengend und bedeutet man hat auch Angst seine Arbeit zu verlieren und durch die KI oder andere Menschen, die die KI effizienter benutzen, ersetzt zu werden.

    Was noch dazukommt, ist dass es nun sehr viele neue Projekte geben wird, weil die KI quasi so ein Projekt alleine umsetzen kann ohne dass man verstehen muss, wie Flatpak usw. funktioniert.

    Gerade OpenSource ist hier gefährdet in Verruf zu kommen, wenn die Qualität abnimmt. Bei proprietären/kommerziellen Programmen hat die Firma dahinter meist ein Eigeninteresse, dass es funktioniert.

    Für mich ist die KI ein Verstärker. Wenn man gut ist, wird man mit KI besser. Wer nichts kann, der wird auch mit KI irgendwann an seine Grenzen kommen. Das Problem ist, dass sich diese Grenzen nun massiv verschoben haben.

    Hier wird nun überall versucht das in den Griff zu bekommen. Wie beim Linux Kernel wo aufeinander 10 verschiedene Varianten der gleichen Sicherheitslücke gemeldet werden. Oder die False Positives, die dabei entstehen. Ich habe bereits mehrere Versuche gemacht und die KI angewiesen nach Sicherheitslücken in großen Open Source Projekten zu suchen. Stellt euch vor, sie hat gleich mal mehr als 20 Findings bei den ersten paar Dateien gehabt 🤪🤪🤪

    Nach einer genaueren Analyse blieben genau Null übrig. 😭 😭😭
    Hier versteht man, warum gerade alle so empfindlich reagieren.

    Richtig eingesetzt, kann sie auch hier wieder helfen, wenn man selber weiß nach was man sucht. Sie hat mir z.B. geholfen eine vermutete Sicherheitslücke zu bestätigen und einen funktionierenden PoC Exploit zu schreiben. Auch bei dem doch sehr umfangreichen Bericht auf Englisch war ich über ihre Hilfe froh.

    Beim Einreichen des Reports kam aber gleich mal ein Kommentar wegen der LLM Nutzung zurück. Ganz ignorieren konnten sie meinen Bericht aber auch nicht, weil es sehr gut dokumentiert war (dank LLM)

    Wie unterscheidet man aber nun das eine echte Finding von den 20 False Positives?

    Genauso wird es auch bei Flatpak sein. Sie möchten eine entsprechende Qualität sicherstellen, kommen aber nicht mehr hinterher.

    Das betrifft aber mittlerweile sämtliche Bereiche und nicht nur Flatpak.

    2
    1. Was mir an dieser Diskussion fehlt, ist die Perspektive der Menschen, die tatsächlich täglich Software entwickeln.

      KI hat die Softwareentwicklung nicht neu erfunden. Sie ist vielmehr die nächste Stufe einer Entwicklung, die seit Jahrzehnten stattfindet. Früher wurde in Assembler programmiert, später in Hochsprachen wie C oder C++. Danach kamen moderne IDEs, automatische Refactorings, statische Analysen, Stack Overflow und GitHub. Jede dieser Entwicklungen hat den Einstieg erleichtert und die Produktivität erhöht.

      Heute übernehmen Sprachmodelle einen Teil dieser Arbeit. Für erfahrene Entwickler bedeutet das häufig eine enorme Beschleunigung. Dinge, die früher Tage oder Wochen gedauert haben, lassen sich oft innerhalb weniger Stunden zu einem ersten funktionsfähigen Prototypen zusammenbauen. Gerade bei privaten Projekten, bei denen Zeit meist die knappste Ressource ist, kann das den Unterschied zwischen „wird umgesetzt“ und „bleibt eine Idee“ ausmachen.

      Gleichzeitig lösen KI-Werkzeuge kein fundamentales Problem: Man muss weiterhin beurteilen können, ob das Ergebnis überhaupt korrekt ist. Wer sich blind auf generierten Code verlässt, produziert dieselben Fehler wie früher diejenigen, die ungeprüft Code aus Foren oder von Stack Overflow kopiert haben. Der Unterschied besteht lediglich darin, dass die KI schneller, freundlicher und deutlich produktiver ist.

      Deshalb sehe ich KI nicht als Ersatz für Fachwissen, sondern als Verstärker. Gute Entwickler werden durch KI oft deutlich produktiver. Schlechte Entwickler können mit KI zwar weiter kommen als früher, stoßen aber spätestens bei Architektur, Qualität, Wartbarkeit und Fehlersuche an Grenzen.

      Die eigentliche Herausforderung liegt inzwischen woanders: Nicht mehr die Erstellung von Software ist der Engpass, sondern die Qualitätssicherung. Wenn plötzlich zehnmal mehr Projekte entstehen können, müssen Maintainer, Reviewer und Plattformen wie Flatpak oder Open-Source-Projekte auch zehnmal mehr Ergebnisse bewerten. Genau deshalb sieht man aktuell so viele Diskussionen über KI-generierte Sicherheitsmeldungen, False Positives und die zunehmende Belastung von Review-Prozessen.

      KI senkt die Einstiegshürde für die Erstellung von Software massiv. Das ist weder grundsätzlich gut noch grundsätzlich schlecht. Es verschiebt lediglich die Grenzen dessen, was einzelne Menschen in ihrer verfügbaren Zeit erreichen können. Die entscheidende Fähigkeit wird dadurch nicht das Programmieren selbst, sondern die Bewertung und Kontrolle der Ergebnisse.

      1
  3. Man regiert hier mehr oder weniger willkürlich auf eine regelrechte Flut von KI erzeugten Beiträgen. Eine reine Schutzreaktion.
    Letztlich wird man sich zur Erkenntnis durchringen müssen, dass man dieser Flut mit begrenzter manpower nicht her werden kann und damit beginnen automatische Filter für Relevanz und Redundanz zu entwickeln.

    1
  4. Es geht bei Flathub vermutlich eher darum, eine einfache Ablehnungsgrundlage zu schaffen. Das halte ich aber für schwierig umzusetzen. Niemand kann nachweisen, ob ich ein README mit ChatGPT geschrieben habe oder selbst. Aber im Zweifelsfall, kann man ja einfach mal die KI-Nutzung unterstellen und ein Projekt ablehnen. Bei proprietären Anwendungen geht das aber nicht so ohne weiteres. Genau diese Kritik wird bereits diskutiert. Ebenso die Ausnahmen, das klingt eher nach “gut gemeint” aber nicht nach “gut gemacht”.
    Der Teil im Artikel, den am problematischsten sehe, ist die Formulierung „KI-generierter oder KI-assistierter Code“. Das schließt streng genommen sogar Copilot-Autovervollständigungen aus. Wenn man das konsequent durchzieht, wird es in ein paar Jahren schwierig, überhaupt noch neue Entwickler zu finden, die diese Regel einhalten können. Die Grenze zwischen „IDE-Funktion“ und „KI-Assistent“ verschwimmt inzwischen komplett.
    Deshalb vermute ich, dass diese Regel langfristig entweder wieder aufgeweicht wird, nur sehr selektiv angewendet wird, oder faktisch zu einer Ehrenerklärung verkommt. Denn die Alternative wäre, dass Maintainer plötzlich prüfen müssten, ob jemand GitHub Copilot, Claude Code, Codex oder ChatGPT verwendet hat. Das ist praktisch unmöglich.

    2
    1. Ja das sehe ich genauso. Das ist ein hochproblematisches Thema. Vorallem der Teil mit dem KI-assistierter Code. Wie will man das beweisen? Gar nicht! Das wird vollkommen wilkürlich und man kann einfach jedes App ablehnen. Deine Nase passt mir nicht? Du hast bestimmt Copilot Autoverständigung benutzt! Deine Politische Meinung ist nicht die meine? Du hast bestimmt in deinem Readme Rechtschreibefehler mit dem LanguageTool korrigiert. Und so weiter.
      Den Beweis bleibt man natürlich schuldig.

      0

Kommentar hinterlassen