Ответственность и происхождение

Люди несут ответственность за код, который они фиксируют. Это остаётся верным независимо от способа генерации кода. “ИИ это сделал” — не оправдание.

Ответственность по ролям

Индивидуальный участник

Отвечает за:

• Качество кода, который он фиксирует (независимо от источника)
• Правильное использование ИИ-инструментов согласно политике
• Проверку вывода ИИ перед фиксацией
• Понимание кода, который он отправляет

Рецензент кода

Отвечает за:

• Рецензирование по установленным стандартам
• Выявление проблем независимо от источника
• Поднятие вопросов о качестве или паттернах

Лидер команды

Отвечает за:

• Практики команды в использовании ИИ
• Обеспечение соответствующего обучения
• Работу с паттернами проблем

Руководство инженерного отдела

Отвечает за:

• Организационную политику в отношении ИИ
• Решения о инструментах и закупках
• Принятие рисков на уровне организации

Когда что-то идёт не так

Производственный инцидент из-за кода ИИ

1. Относиться как к любому инциденту — сначала разрешение
2. Post-mortem включает участие ИИ как контекст
3. Улучшения процесса могут касаться практик ИИ

Не следует: Обвинять ИИ, создавать специальные категории “ИИ-инцидентов” или освобождать людей от ответственности.

Уязвимость безопасности из-за кода ИИ

1. Стандартное реагирование на проблему безопасности
2. Документировать участие ИИ для обучения
3. Анализ: наш процесс должен был это выявить?

Ответственность несёт: Разработчик, который зафиксировал код, рецензенты, которые одобрили — НЕ ИИ-инструмент.

Происхождение кода

Откуда берётся код, сгенерированный ИИ? Модели обучаются на огромном количестве публичного кода с различными лицензиями. Вывод статистически зависит от обучающих данных, но обычно не является прямым копированием. Существует правовая неопределённость — суды ещё не полностью решили, как авторское право применяется к результатам ИИ.

Что мы знаем

• Легальность обучения: Идут судебные процессы о добросовестном использовании; решения пока нет
• Владение результатом: Человек/организация, формирующая промпт, практически рассматривается как автор, но юридически это не урегулировано
• Дословное воспроизведение: Если ИИ выводит точные копии, применяется оригинальное авторское право

Управление рисками

Сценарии низкого риска:

• Boilerplate код, который любой напишет так же
• Внутренние инструменты без внешнего распространения
• Код, который вы активно модифицируете после генерации

Сценарии более высокого риска:

• Распространение сгенерированного кода в продуктах
• Вклад в open-source с копилефтными лицензиями
• Уникальные или отличительные алгоритмы

Отслеживание участия ИИ

Что отслеживать

• Какие файлы/коммиты использовали помощь ИИ
• Какой инструмент использовался
• Проводилась ли человеческая проверка

Как отслеживать

• Git-конвенции коммитов: Теги в сообщениях коммитов
• Аннотации в рецензиях: Отмечать участие ИИ в проверке
• Инструменты: Некоторые инструменты логируют взаимодействия с ИИ

Зачем отслеживать

• Будущее соответствие нормативным требованиям может это потребовать
• Реагирование на инциденты при возникновении проблем
• Нормативное соответствие в некоторых отраслях

Граничные случаи

Автоматизированные изменения ИИ (CI/CD, боты): Человек, настроивший автоматизацию, несёт ответственность за результат. Не автоматизируйте значимые изменения без одобрения человека.

Многопользовательские сессии ИИ: Фиксирующий берёт ответственность. Должен проверить/понять перед фиксацией.

ИИ-помощь в рецензировании: Человек-рецензент всё ещё несёт ответственность. Находки ИИ должны быть проверены человеком.

Чек-лист политики

1. Область применения: Какие виды деятельности охватываются
2. Роли: Кто за что отвечает
3. Требования: Что должно произойти перед фиксацией/слиянием
4. Документация: Что должно быть записано
5. Исключения: Как обрабатывать особые случаи
6. Принуждение: Что происходит при нарушении политики

Ресурсы

Обязательно к прочтению

• Your job is to deliver code you have proven to work - Ответственность за код, сгенерированный ИИ