世界を動かす技術を、日本語で。

Gitの–authorフラグを使って、GitHubリポジトリでAIボットのスパムを防ぎました

2026年5月19日原文(archestra.ai)

概要

  • AIによる貢献の質低下 がオープンソース界隈で深刻化
  • AIスパム がリポジトリ運営や正規コントリビューターの活動を妨害
  • 独自のホワイトリスト方式 でAIアカウント対策を実施
  • GitHubの制限の中で工夫 したオンボーディングプロセス導入
  • AIによるリスクと今後の議論の必要性 を強調

オープンソースの終焉?AIスパム問題とその対策

  • GitHub でのAIによる貢献数増加、しかし 貢献の質低下 が顕著
  • バウンティ付きIssue ($900報酬)にAIアカウントが殺到、 ノイズ化問題 発生
  • AIボット による不要なコメントや攻撃的発言、 正規コントリビューターの埋没
  • Pull Request(PR)やIssue が未検証・無意味なものだらけになり メンテナンス負荷増大
  • リポジトリがAIスパムに埋もれ、新規・正規の貢献者が活動しにくい環境へ

対策とその課題

  • London-Cat という独自Botで コントリビューターのレピュテーション管理 を試行
    • 効果限定的、スパム根絶には至らず
  • AI sheriff 導入でAIスパム自動排除
    • 誤検知による正規PRの排除 も発生
  • オンボーディング必須化 という「核オプション」採用
    • Issue作成・PR・コメント事前承認(ホワイトリスト)通過者のみ許可
    • 品質重視 の方針転換、AIによる「数値水増し」否定

GitHub上でのホワイトリスト運用方法

  • 「prior contributors限定」設定過去にmainへコミットしたユーザーのみ権限付与
    • AIも新規コントリビューターも一律制限 される副作用
  • Gitの--authorフラグGitHub noreplyメール を活用したコミットで 外部ユーザーを事前承認
    • 外部ユーザーがauthor、チームがcommitterとなるコミット をmainへpush
  • オンボーディングフロー
    • 自社サイトでAI倫理ルール同意+CAPTCHA認証
    • GitHub Actions がユーザーID取得、EXTERNAL_CONTRIBUTORS.md更新、mainへコミット
    • 承認後、即リポジトリアクセス可能

AIスパムによるリスクと今後の課題

  • AI生成ノイズモチベーション低下・貢献意欲の阻害要因
  • LiteLLMリポジトリ事例 :AIボットによる セキュリティリスク、攻撃者が議論誘導
  • GitHubのメトリクス増加 の裏に AI生成コンテンツの氾濫
  • オープンソースコミュニティ全体でAIの影響を再考 する必要性

まとめとコミュニティへの呼びかけ

  • AI活用の功罪 を直視し、 本質的な貢献の質 を守るための仕組み作りが必須
  • 正規コントリビューター・責任あるAIユーザー・初心者・熟練者 が安心して参加できる場の維持
  • コミュニティ全体でAI時代のオープンソースのあり方 を議論すべき時期

Hackerたちの意見

PRスパムは、報酬を出しているリポジトリにとって大きな問題だよね。GitHubは、95%以上のPRが拒否されるアカウントを一時的にブロックすべきなんじゃないかな。

問題は、ボットが無限にGitHubアカウントを作ってスパムを続けられることだよね。でも、これを防ぐためのシンプルな対策としてはいいスタートかも。

GitHubにはAIをブロックするインセンティブがないんだよね。広告会社に自社のブラウザに広告ブロッカーを作れって言ってるようなもんだ。

GitHubとMicrosoftはこの問題に積極的に関与しているから、彼らが非を認めるわけがないよね。

GitHubには、例えば1つのPRに有効なトークンを配布できるシステムがあってもいいと思う。誰かが意味のある議論をして、問題や機能に対する良いアイデアを示したら、最初に1つのPRトークンを渡す。もしそのPRが良質なら、さらにいくつか渡して、最終的には好きなようにPRを作成できる貢献者になれる。問題に対しても似たようなシステムがあればいいけど、問題がPRの貢献のきっかけになるとしたら、どうなるのかは分からないな。実現する可能性は低いと思うけど(他の人も言ってたし)、GitHub/MSはCoPilotのサブスクリプションやトークンを売りたいから、LLM生成のPRもそのビジネスモデルの一部なんだ。

求人候補者に楽しいテスト課題を出すのをやめるべき? うん、そうだね。

それ、誰にとって楽しいの?

この特定の会社は、そのタスクを完了することで報酬を支払っているみたいだから、そんなに悪くないかもね。

開発者たち:ホワイトボードインタビューはやめて、実際の仕事に関連するものを測れないから。で、開発者たち:現実の問題を解決するのはやめて。

.aiドメインの皮肉だよね。

指摘してくれてありがとう!気づかなかったし、すごく面白いね。

それと、ウェブサイトのスクロールコードを直してくれない?めっちゃイライラする。記事が読めないよ。

Hacker Newsで議論の続きを見る