信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
Linux カーネルがAIコード貢献ポリシーを正式策定 — 許可・禁止・責任の全体像
数ヶ月の議論を経てLinuxカーネルコミュニティがAI生成コードの貢献ルールを正式合意。GitHub Copilot等は条件付き許可、「AIスロップ」は禁止、投稿者が全責任を負うという枠組みを解説します。
一言結論
LinuxカーネルはAIツール(Copilot等)を条件付きで許可したが、レビューなしに大量生成されたコード(AIスロップ)は明確に禁止し、DCOに署名した貢献者が著作権侵害を含む全責任を負うという方針は、オープンソース全体のAI活用基準になり得る重要な先例だ。
背景 — なぜ今、Linuxがポリシーを定めたのか
2025年後半から、オープンソースコミュニティはAI生成コードの急増という問題に直面してきました。cURLの開発者はバグバウンティをAI生成の偽レポートで埋め尽くされて閉鎖せざるを得なくなり、Node.js や OCaml でも質の低いAIパッチが大量に送られてくる事態が相次ぎました。
こうした状況を受けてLinuxカーネルコミュニティは2025年12月ごろから公式ポリシーの策定に着手。Linus Torvaldsを含むメンテナーたちが数ヶ月にわたる議論を経て、2026年4月12日に最終合意に至りました。
正式ポリシーの概要
許可されること
✅ GitHub Copilot、Cursor、Claude Code等のAI補助ツールの利用
✅ AIが提案したコードを人間が十分レビューしたうえでの提出
✅ AI生成コードを含むパッチの送付(開示義務あり)禁止されること
❌ レビューなしに大量生成されたパッチの送付(「AI スロップ」)
❌ AIが生成したコードの意味を理解せずに署名だけして提出
❌ AIツールを使って知識不足を「ごまかす」行為開示・責任のルール
新たに追加されたドキュメントには以下の原則が明文化されています。
- 完全な理解の義務 — 提出するコードが何をしているか、なぜそう実装するかを自分で説明できること
- レビューの義務 — AIが生成したコードであっても、人間のレビュアーと同等以上の精査を行うこと
- DCO署名の重み — Developer Certificate of Origin(開発者起源証明)への署名は、著作権侵害リスクを含む全法的責任を自らが引き受けることを意味する
「Signed-off-by: Your Name <your@email.com>」この1行を追加した瞬間、コードの由来(AI生成か否かを問わず)に関わらずあなたが全責任を負います。
DCO が抱えるAI時代の新リスク
DCO はもともと「自分に提出権限があるコードだけを出す」という誓約でした。しかしAI生成コードには固有のリスクがあります。
著作権リスク
AIモデルの学習データに含まれていたコードと酷似したパターンが出力される場合があります。もしそのコードが GPL 非互換のライセンスで保護されていた場合、DCO 署名者がその侵害を法的に引き受けることになります。
/* AIが生成したコードが既存の実装と酷似していた場合 */
/* → DCO署名者が著作権侵害の責任を負う可能性 */
static int foo_driver_probe(struct platform_device *pdev)
{
/* このロジックは本当に自分が理解しているか? */
...
}品質リスク
カーネルのバグはシステム全体に影響します。AIが生成したコードが一見動作するように見えても、エッジケースやレースコンディション、メモリ安全性の問題を含んでいる可能性があります。メンテナーはこうした微妙な問題を見抜けない貢献者からのパッチを最も警戒しています。
コミュニティへの実際の影響
メンテナー側の変化
Before: 「このコードはAI生成ですか?」という質問 → 非公式・任意
After: 提出フォームやコミットメッセージでの開示が推奨(将来的に必須化の可能性)一部のメンテナーはすでに、明らかにAI生成とみられるパッチに対して「これを理解しているか?」という質問を標準的な初期確認として行っています。
貢献者側が注意すべきこと
実際にAIを使ってLinuxカーネルに貢献しようとする場合のチェックリスト:
□ コードの意図を一行で説明できるか
□ 各関数の副作用を把握しているか
□ 既存の類似実装と比較検討したか
□ カーネルのコーディングスタイル(scripts/checkpatch.pl)を満たしているか
□ 関連するサブシステムのメーリングリストで議論を確認したか他のオープンソースプロジェクトへの波及
このポリシーはLinux固有のものではなく、オープンソース界全体への影響が注目されています。
| プロジェクト | 対応状況 |
|---|---|
| Linux カーネル | ✅ 2026年4月に正式ポリシー策定 |
| OpenBSD | メーリングリストで議論中(厳格寄り) |
| PostgreSQL | ガイドライン整備を検討中 |
| Python / CPython | まだ公式方針なし |
| Apache 系プロジェクト | ASF 全体のポリシー策定を検討 |
※ 上記の他プロジェクトの対応状況は2026年4月時点の報道ベースであり、変化する可能性があります。
落とし穴 — よくある誤解
誤解1: 「AIツールを使うこと自体が禁止された」
❌ 間違いです。GitHub Copilot も Claude Code も使えます。禁止されているのは無責任な利用です。
誤解2: 「DCOに署名すれば後は問題ない」
❌ 間違いです。DCO 署名は責任を引き受ける行為です。理解せずに署名することは、リスクを引き受けることと同義です。
誤解3: 「AI生成コードは必ずバレる」
❌ 完全には検出できません。ただし経験豊富なメンテナーは、コードの説明ができない貢献者のレビューへの返答パターンからAI依存を見抜くことが多いと報告されています。
まとめ
Linuxのポリシーが示した核心は**「ツールより、人間の理解と責任」**という原則です。AIコードを使うこと自体は問題なく、問題なのはAIをブラックボックスとして扱い、自分が理解していないコードを提出することです。
この枠組みはオープンソースコミュニティのAI利用ガイドラインのひな形として機能する可能性があり、企業内のコードレビュープロセスにも応用できる考え方です。
参考リンク(Source):
- Linux lays down the law on AI-generated code — Tom’s Hardware
- Linus Torvalds Just Told AI Coders The Rules — Web And IT News
- Reddit r/programming スレッド(当該記事)
未確認情報の注記: 各プロジェクトの対応状況(PostgreSQL、Python等)は報道ベースの情報であり、公式発表ではない場合があります。DCOの法的解釈については法律の専門家への確認を推奨します。