Debian pospone una decisión sobre las contribuciones generadas por IA

 (lwn.net)
1 puntos por GN⁺ 2026-03-12 | 1 comentarios | Compartir por WhatsApp
  • La comunidad de Debian debatió si permitir contribuciones de código basadas en IA o LLM, pero cerró la discusión sin llegar a una conclusión
  • El borrador propuesto permitía su uso con condiciones como divulgación explícita del uso de herramientas de IA, claridad sobre la responsabilidad y prohibición de usar información sensible
  • Los desarrolladores se dividieron por la ambigüedad del término “IA”, el alcance del uso de los LLM y los problemas de calidad, derechos de autor y ética
  • Algunos expresaron su oposición por motivos como el posible obstáculo para incorporar a nuevos contribuidores, las prácticas empresariales poco éticas y la incertidumbre legal
  • Por ahora, Debian mantendrá la evaluación caso por caso según sus políticas existentes, dejando abierta la posibilidad de continuar la discusión en el futuro

Resumen del debate de Debian sobre contribuciones con IA

  • Debian llevó a cabo una discusión interna sobre si aceptar código generado por IA, pero esta terminó sin que se presentara una Resolución General (GR)
    • La discusión comenzó cuando Lucas Nussbaum presentó un borrador para aclarar la postura sobre las contribuciones asistidas por IA
    • Tras recopilar comentarios, evaluó presentarlo formalmente, pero la discusión perdió impulso y la resolución no se llegó a proponer
  • El borrador incluía la obligación de revelar el código generado con herramientas de IA, la aclaración de la responsabilidad del contribuidor, la garantía de cumplimiento de seguridad y licencias y la prohibición de usar información no pública

Debate sobre definiciones y distinción técnica

  • Varios desarrolladores señalaron la falta de claridad del término “IA” y enfatizaron la necesidad de mencionar tecnologías concretas como los LLM
    • Russ Allbery indicó que “IA” es demasiado amplio y no sirve para definir políticas
    • Sean Whitton propuso distinguir el uso de LLM según su propósito (revisión de código, prototipos, código de producción)
    • Andrea Pappacoda mencionó que proyectos como Claude’s C Compiler no deberían incluirse en Debian
  • En cambio, Nussbaum sostuvo que lo importante no es el tipo de herramienta, sino el acto mismo de generación automatizada de código

Incorporación de nuevos contribuidores y costos

  • Simon Richter expresó su preocupación de que la IA pueda sustituir oportunidades de aprendizaje para nuevos desarrolladores
    • Señaló que, aunque se le dé orientación, la IA no aprende, y que los recursos del proyecto no se traducen en una transferencia continua de conocimiento
    • También advirtió que el uso de IA podría generar dependencia de herramientas de pago, reduciendo la accesibilidad para contribuir
  • Nussbaum reconoció que hoy existe acceso gratuito, aunque admitió que en el futuro podrían surgir problemas de costos
    • Rebatió que la IA podría, de hecho, facilitar el acceso a tareas complejas
  • Ted Ts’o se opuso a excluir a quienes usan IA, argumentando que sería contradictorio y podría limitar la diversidad de contribuidores

Debate sobre ética, derechos de autor y calidad

  • Matthew Vernon sostuvo que Debian debería oponerse claramente por motivos como la recopilación no ética de datos por parte de empresas de IA y el daño ambiental
    • Señaló efectos negativos como infracción de derechos de autor, generación de imágenes sin consentimiento e informes de seguridad falsos
  • Jonathan Dowland propuso restringir la aceptación de contenido generado por IA hasta que se aclare la incertidumbre legal
  • Thorsten Glaser afirmó que los proyectos que incluyan código basado en LLM deberían trasladarse al área “non-free”, pero no obtuvo apoyo por el riesgo de excluir proyectos clave como el kernel de Linux y Python
  • Allbery señaló que la polémica sobre la calidad del código de IA carece de sentido, ya que los humanos también pueden escribir mal código
  • Bdale Garbee destacó que la IA debe verse como una etapa evolutiva y que hace falta observar su impacto a largo plazo

Debate sobre la “forma preferida para modificar” (Preferred form of modification)

  • Nussbaum respondió que la entrada al LLM (prompt) era la forma preferida para modificar, pero la discusión continuó por el problema de la no determinación
    • Algunos sostuvieron que, al ser no deterministas, los LLM no son adecuados para reproducible build
    • Otros respondieron que pueden reproducirse si se mantiene la misma semilla PRNG y el mismo entorno
    • El debate se amplió a detalles técnicos como determinism, reproducibility y la asincronía en operaciones de GPU

Conclusión: Debian deja la decisión en suspenso

  • Dentro de Debian ni siquiera hay consenso sobre cómo definir una contribución generada por IA
  • Muchos consideraron que todavía no es momento de votar una resolución y que es preferible seguir discutiendo a nivel de lista de correo
  • Nussbaum comentó que “permitir la IA pero con salvaguardas” podría ser una salida realista
  • Por ahora, se mantiene la evaluación caso por caso según las políticas existentes, y siguen sin definirse los criterios para modelos de IA, código LLM y contribuciones generadas por IA
  • Ante un cambio técnico complejo y opiniones diversas, mantener el statu quo se considera la opción más práctica

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-03-12
Comentarios de Hacker News

  • He programado toda mi vida, pero después de una lesión en la muñeca que hizo que teclear fuera casi imposible, pude volver a producir código de alta calidad gracias a los LLM, el autocompletado con IA y el desarrollo basado en agentes
    Las alucinaciones (hallucinations) de la IA incluso ayudan a pulir los prompts y a aclarar la intención
    Desde el punto de vista de la accesibilidad, la IA es una herramienta indispensable para mí, y creo que más importante que preguntarse si “lo bueno compensa lo malo” es la actitud de integrarla al ecosistema de forma amplia

    • Como dices, hay gente que usa la IA de forma razonable, pero es peligroso asumir que todos los usuarios lo hacen así
      Algunos proyectos están inundados de PR de baja calidad, y en muchos casos los contribuidores solo quieren llenar su perfil de GitHub
      Al final, lo importante es si se contribuye de buena fe (good faith), y los proyectos deben dejar claro cuál es su margen de tolerancia
    • Yo también sigo un enfoque parecido. En vez de darle a la IA problemas difíciles, le doy la solución técnica que ya pensaba implementar y hago que genere el código
      Así se reduce la fatiga de revisión y puedo concentrarme solo en las partes que difieren de lo esperado
    • Yo también tengo dolor en la muñeca, así que uso la combinación Whisper + LLM para entrada por voz y organización. He automatizado desde correos y redacción de documentos hasta clasificación de recibos, y eso también ayuda a mi salud
      Ya hasta siento que no querría trabajar en una empresa que bloquee este tipo de funciones
    • Yo también tengo RSI y el autocompletado con IA me ha ayudado mucho. Aun así, la IA tipo agente no resulta muy útil en entornos de C++/Rust en tiempo real
      El aspecto de accesibilidad es muy importante, pero los problemas de copyright y responsabilidad siguen siendo complejos
    • Si puedes firmar tu código y poner en juego tu experiencia y reputación, la IA no es más que una herramienta avanzada de autocompletado y debería verse como una excepción a las reglas de “no AI”

  • Creo que la revisión de PR (pull requests) al final es una cuestión de confianza. Se trata de creer que quien lo envía hizo su mejor esfuerzo
    Más que si usó IA o no, la clave es si la usa con responsabilidad

    • Claro que también existen actores maliciosos. Las amenazas persistentes avanzadas (APT), como el ataque a XZ, son una realidad también en el open source
      Varias cuentas falsas pueden ser un solo atacante, y el código generado por LLM puede verse bien para otros LLM, así que verificarlo se vuelve más difícil
      Al final, hemos llegado a una situación donde evaluar un PR es más difícil que crearlo
    • Aun así, sigo pensando que todo código debe verificarse como si fuera un posible caballo de Troya
    • El proceso de revisión debe ser lo bastante robusto para detectar errores, vengan de humanos o de IA

  • El debate sobre la calidad de las contribuciones con IA me parece extraño. La calidad siempre es responsabilidad de quien envía el cambio
    Usar IA no te exime de nada, y de hecho las políticas que restringen el uso de IA pueden terminar perjudicando solo a los contribuidores de buena fe

    • El problema es que el código de LLM puede verse bien por fuera, pero en realidad ser código implementado sin comprensión real
    • Lo importante no es la herramienta, sino si el contribuidor puede explicar y defender su código durante la revisión
      Yo mantengo un fork de 300 commits con ayuda de IA, pero reviso cada línea y puedo explicar todo
      Al final, la clave es la calidad de la participación, no el tipo de herramienta
    • La verdadera condición inmutable es la responsabilidad. Si enviaste un parche, debes hacerte cargo también de su diseño y mantenimiento
    • Pero la IA corre el riesgo de llevar a la gente a evadir esa responsabilidad

  • A largo plazo, si la IA sigue avanzando, parece que será difícil distinguir entre resultados humanos y resultados de IA
    Al final, cuando llegue a un nivel “lo suficientemente bueno”, parecerá hecho por una persona, y me da curiosidad qué pasará entonces

    • No se puede impedir por completo, pero creo que tener una política definida es mejor que no hacer nada
      Ahora la mayoría de los PR con IA son de baja calidad, pero aunque la calidad suba, igual podrían rechazarse por motivos legales o ideológicos
    • Las contribuciones con IA al final deben verse como una extensión de la persona. La cuenta debe pertenecer a una persona real y su reputación debe estar en juego
    • Si de pronto aparece una cantidad enorme de código, se puede sospechar uso de IA. Lo importante no es si se usó IA, sino si se entiende el problema
    • La IA sigue estando limitada a la predicción a nivel de tokens, así que se distingue del código diseñado por humanos
      Son comunes las abstracciones demasiado fragmentadas o los refactors innecesarios
      Que un humano use IA como herramienta está bien, pero creo que todavía estamos lejos de un nivel donde la IA sustituya al humano
      Aun así, el abuso del vibecoding está disparando los costos de revisión y mantenimiento
    • Al final, el código de quien la usa correctamente no se distingue del código humano. El problema no es la herramienta, sino cómo se usa

  • Mi postura es: “si funciona, con eso basta”
    Si el código cumple con los criterios de funcionalidad, documentación, pruebas y corrección, no importa si lo escribió una IA o una persona
    Lo importante es definir claramente qué significa “funciona” y contar con un sistema de revisión competente

  • La IA puede generar miles de líneas de código de una sola vez y subirlas en un PR, pero al final hay que limitarlo a un tamaño revisable
    Aunque la IA pase las pruebas, si quien lo escribió no entiende el contenido, es riesgoso
    Se necesita limitar el alcance del trabajo y contar con un historial previo de contribuciones manuales

  • La política de Debian es simple: “que nadie salga lastimado”. Es un buen principio

  • Hubo una pregunta sobre si Debian tiene una regla que prohíba enviar código de otra persona como si fuera propio
    En la práctica, eso ya es ilegal por infracción de copyright, así que aunque no esté explícito, existe de forma implícita
    Los LLM no son personas, pero el copyright de ese código sigue sin estar claro

  • El vibecoding en webapps o apps móviles no importa tanto, pero usar IA en software de infraestructura crítica como kernels, compiladores o sistemas operativos es riesgoso
    En estas áreas se necesitan lenguajes con verificación formal como Ada/SPARK
    Me da miedo pensar que algún día pueda subirme a un auto con un sistema de frenado hecho por IA

    • De acuerdo. Los sistemas críticos requieren muchísimo cuidado, y los LLM carecen tanto de atención como de seguridad frente a riesgos de copyright
    • De hecho, escuché que en la industria automotriz ya había mucho código generado automáticamente desde antes de la IA

  • Un “envío de código estilo YOLO” es mucho menos aceptable que “código hecho con IA pero verificado al máximo posible