Искусственный интеллект Google обнаружил ошибку 1995 года, что привело к спору о справедливости открытого исходного кода.
Один из важнейших проектов программного обеспечения с открытым исходным кодом — FFmpeg — оказался в центре спора о том, кто отвечает за безопасность ключевых компонентов Интернета. Дебаты разгорелись после того, как искусственный интеллект Google обнаружил уязвимость в FFmpeg, кодеке Smush от LucasArts, ответственном за первые кадры Rebel Assault 2 (1995). Баг исправили, но в проекте сказали: исправления делают волонтеры, а не корпорации, которые на этом зарабатывают.
FFmpeg — это мощная мультимедийная платформа, обеспечивающая обработку аудио и видео для браузеров VLC, Kodi, Plex, Google Chrome и Firefox, а также видеосервисов, таких как YouTube. Его библиотеки libavcodec и libavformat являются основой практически всей экосистемы современных медиаплатформ.. При этом разработка почти полностью ведется волонтерами.
Конфликт вызван сообщением FFmpeg X: «Безопасность для нас чрезвычайно важна, но патчи пишут волонтерыПосле этого последовал шквал комментариев по поводу такие гиганты, как Google и Amazon, которые активно используют FFmpeg, но не поддерживают его напрямую.
Эксперт по открытому коду Марк Этвуд напомнил, что такие проекты, как FFmpeg, не имеют статуса контрагента, не имеют соглашения о неразглашении и «могут закрыть три линейки корпоративных продуктов одним письмом». По его словам, даже убедить руководство Amazon профинансировать этих разработчиков оказывается невозможным.
Ситуацию усугубила новая политика Google в отношении Проект Нолькоторый по состоянию на июль 2025 года публикует уведомления об уязвимостях в течение недели с момента их обнаружения, даже если исправление еще не готово. Для волонтеров, у которых нет необходимых ресурсов или зарплаты, 90-дневный срок кажется давлением со стороны корпорации.
FFmpeg заявила, что считает несправедливым использовать искусственный интеллект для обнаружения ошибок в «хобби-коде» и тогда потребуй, чтобы все исправили. Со своей стороны, Google называет это защитой общих цифровых интересов и даже предлагает программу вознаграждений за исправления. Однако, как отмечают разработчики FFmpeg, программа слишком ограничена и не охватывает реального объема работ.
Глава Chainguard Дэн Лоренц заявил, что «поиск и публикация уязвимостей также является вкладом в общее благо», и Google делает для открытого ПО больше, чем любая другая организация. Но члены сообщества видят это по-другому: корпорации с доходом в триллионы долларов перекладывают рабочую нагрузку на волонтеров.
Другие ключевые проекты также сталкиваются с аналогичными проблемами, в том числе libxml2который поддерживал Ник Веллнхофер. Он объявил, что увольняется с работы, объяснив это тем, что еженедельный анализ «неприоритетных уязвимостей» занимает часы без какой-либо компенсации.
Без дополнительной поддержки со стороны корпораций, получающих прибыль от открытого исходного кода, многие важные проекты, опирающиеся на работу волонтеров, могут остаться без поддержки и вообще перестать развиваться.
