Mitchell Hashimoto (der hinter Ghostty, hcl, Terraform) hat ja viele Probleme mit AI-Slop-PRs. Dafür hat er jetzt einen Lösungsversuch skizziert: vouch.
Im Pinrzip ist es eine Liste von “trusted” Contributors (“trusted” wie in “macht keinen AI-Slop”, nicht in “ist kein Actor mit schlechten Intentionen”).
Die Grundidee ist, dass man im Repo eine .github/VOUCHED.td (td für “Trustdown”) hat. Die sieht bei dem Repo selbst, aber hier auch als Beispiel:
# The list of vouched (or actively denounced) users for this repository.
#
# The high-level idea is that only vouched users can participate in
# contributing to this project. And a denounced user is explicitly
# blocked from contributing (issues, PRs, etc. auto-closed).
#
# We choose to maintain a denouncement list rather than or in addition to
# using the platform's block features so other projects can slurp in our
# list of denounced users if they trust us and want to adopt our prior
# knowledge about bad actors.
#
# Syntax:
# - One handle per line (without @). Sorted alphabetically.
# - Optionally specify platform: `platform:username` (e.g., `github:mitchellh`).
# - To denounce a user, prefix with minus: `-username` or `-platform:username`.
# - Optionally, add details after a space following the handle.
#
# Maintainers can vouch for new contributors by commenting "lgtm" on an
# issue by the author. Maintainers can denounce users by commenting
# "denounce" or "denounce [username]" on an issue or PR.
mitchellh
-github:badguy
-github:slopmaster3000 Submitted endless amounts of AI slopMan kann damit Leuten nicht nur vertrauen, sondern auch explizit misstrauen. Mitchell liefert dazu noch passende GitHub-Actions, mit denen PRs direkt kategorisiert und ggf. geschlossen werden können.
Wenn das was größeres wird, könnte man daraus auch so ein Web-Of-Trust wie bei GPG bauen. Mal gucken, was damit passiert.