O avanço acelerado das ferramentas de geração de código por inteligência artificial pode trazer ganhos de produtividade, mas também criou um novo problema no ecossistema open source: o chamado “AI slop”, contribuições aparentemente plausíveis, porém superficiais, mal compreendidas e frequentemente incorretas. Para enfrentar essa enxurrada, Mitchell Hashimoto anunciou o lançamento do Vouch, um sistema de gerenciamento de confiança voltado a projetos de código aberto.
Hashimoto é conhecido por ter fundado a HashiCorp e por criar ferramentas amplamente utilizadas como Vagrant e Terraform. Mais recentemente, também esteve envolvido no desenvolvimento do Ghostty. Agora, sua nova iniciativa busca atacar um problema que muitos mantenedores vêm relatando: o aumento significativo de contribuições de baixa qualidade geradas por IA.
Um modelo explícito de confiança
O Vouch parte do princípio de que projetos open source sempre funcionaram com base em confiança e revisão. No passado, o esforço necessário para entender um código, implementar mudanças e submeter um pull request já servia como filtro natural contra contribuições ruins. Com a IA generativa, essa barreira praticamente desapareceu.
A proposta do Vouch é tornar explícito esse modelo de confiança. Antes de interagir com áreas específicas de um projeto, como abrir issues ou pull requests, o colaborador precisa ser “vouched”, ou seja, aprovado por alguém com permissão de escrita no repositório. Também existe a possibilidade de “denounce”, que bloqueia explicitamente um usuário considerado problemático.
A lista de usuários aprovados ou bloqueados é mantida em um arquivo simples no formato .td (Trustdown), facilmente legível e manipulável. O sistema não impõe políticas rígidas: cada projeto decide como e quando exigir aprovação prévia.
Integração com GitHub e CLI dedicada
Embora seja genérico o suficiente para funcionar em qualquer projeto, o Vouch já oferece integração pronta com o GitHub via GitHub Actions e uma CLI própria.
Entre as funcionalidades disponíveis estão:
- Verificação automática de issues e pull requests abertos por usuários não aprovados;
- Fechamento automático de PRs de usuários não “vouched”;
- Gerenciamento de aprovação ou bloqueio via comentários;
- Consulta de status de usuários pela linha de comando.
A CLI é implementada como módulo do Nushell e permite verificar, adicionar ou denunciar usuários com comandos simples. Isso facilita a automação e integração em fluxos de trabalho existentes.
Outro recurso interessante é a possibilidade de formar uma rede de confiança. Projetos podem agregar listas de confiança de outros projetos com valores semelhantes. Assim, um colaborador já aprovado em um projeto pode ser automaticamente reconhecido como confiável em outro, reduzindo atritos para contribuidores legítimos.
E os novos colaboradores?
Uma preocupação comum em sistemas desse tipo é criar barreiras excessivas para iniciantes. A FAQ do projeto explica que o objetivo não é dificultar a entrada, mas filtrar contribuições de baixo esforço.
Segundo Hashimoto, em seus projetos basta que o interessado se apresente em uma issue e explique como deseja contribuir. A ideia é reproduzir uma dinâmica social básica: apresentar-se, demonstrar interesse genuíno e então receber aprovação. Caso haja abuso posterior, o usuário pode ser denunciado.
Importante destacar que ser “vouched” não concede poder de merge, publicação ou acesso administrativo. Essas permissões continuam restritas aos revisores e mantenedores.
O lançamento do Vouch ocorre em meio a relatos de sobrecarga em projetos populares. Um exemplo recente foi o do cURL, que encerrou seu programa de bug bounty após receber uma avalanche de relatórios gerados por IA, muitos deles irrelevantes ou incorretos.
Revisar, testar e rejeitar essas submissões consome tempo, muitas vezes mais do que implementar uma correção adequada. O Vouch tenta inverter essa lógica: em vez de revisar tudo, os mantenedores podem restringir o fluxo inicial a pessoas previamente aprovadas.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!