Разработка ПО с участием ИИ перешла от автодополнения на уровне строк к агентам, которые могут планировать изменения, редактировать файлы и подавать pull request при ограниченном надзоре человека. Однако open-source-софт эволюционирует через процесс, спроектированный для людей: соглашения контрибьюторов, кодексы поведения и нормы ревью - все они предполагают юридически ответственное лицо, которое может подтвердить происхождение кода и ответить на вопросы ревьюера. Автономные и полуавтономные ИИ-контрибьюторы напрягают эти допущения, и хроника 2025-2026 годов - инциденты с участием агентов, объём ИИ-сгенерированного «шума» и отключения на уровне платформ - показывает, что разрыв имеет операционные последствия.
Несколько open-source-организаций ответили политиками для контрибьюции, но результат фрагментирован, и его согласованность с формирующимися рамками регулирования ИИ (EU AI Act, NIST AI RMF с профилем UC Berkeley Agentic AI, ISO/IEC 42001 и 23894) на уровне вклада не картирована. Авторы сравнивают политики шести организаций (SymPy, LLVM, matplotlib, OpenInfra, Apache Software Foundation и Linux Foundation), применяя дизайн «наиболее схожих систем» с кодированием по индикаторам и трассировкой процессов для SymPy и LLVM.
Из этого выводятся: таксономия из шести измерений (раскрытие, ответственность, надзор человека, лицензирование, принуждение к исполнению, нагрузка на мейнтейнеров), порядковый Policy Maturity Score и сопоставление задокументированных инцидентов с участием агентов с теми измерениями, которые каждая политика не покрывает. Согласование измерений с упомянутыми регуляторными рамками выявляет перекрывающиеся пробелы, которые ни одна из сторон сейчас не закрывает; в завершение авторы набрасывают контуры гармонизированной многоуровневой рамки и эмпирическую оценку, нужную для её калибровки.
ИИ-контрибьютор без governance - это PR без понятного владельца риска.
Open source уже сталкивается с шумом, спорным происхождением кода и нагрузкой на мейнтейнеров. Для enterprise это означает одно: агент должен оставлять проверяемый след - что изменил, как проверил, какие тесты и ошибки увидел. Veai работает внутри JetBrains IDE и превращает ИИ-вклад в управляемый процесс с Edit Scope, а не в поток неподконтрольных патчей.
Перевод подготовлен технической командой Veai на основе arXiv:2606.14594. Первоисточник (англ.): arxiv.org/abs/2606.14594.