KeePassXC präzisiert KI-Richtlinie: Nur in der Entwicklung, niemals in der App
Die Entwickler von KeePassXC erklären, dass KI bei der Codeüberprüfung und kleinen Pull-Anfragen hilft, aber niemals in der KeePassXC-Codebasis erscheint.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Das Team hinter dem beliebten Open-Source-Passwortmanager KeePassXC, der plattformübergreifend einsetzbar ist, hat detailliert erläutert, wie KI in seinem Entwicklungsworkflow eingesetzt wird. Damit reagiert es auf Bedenken der Community, die nach einer kürzlich erfolgten Aktualisierung der Beitragsrichtlinien des Projekts und insbesondere in Bezug auf KI-bezogene Aspekte geäußert wurden.
In dem kürzlich veröffentlichten Blogbeitrag mit dem Titel About KeePassXC’s Code Quality Control betont das Team, dass KI die Entwickler während des Überprüfungs- und Entwurfsprozesses unterstützt, aber kein KI-generierter Code in die KeePassXC-Codebasis integriert wird. Die Anwendung selbst bleibt vollständig von Menschen geschrieben und folgt weiterhin den strengen Sicherheitsstandards, die ihre Nutzer erwarten.
Und so läuft das genau ab: Fünf Maintainer haben die Befugnis, Pull-Anfragen zusammenzuführen, wobei zwei als Core-Maintainer fungieren. Jeder Beitrag – egal, ob er von einem Neuling, einem langjährigen Mitwirkenden oder einem Maintainer stammt – wird über GitHub eingereicht, einer kontinuierlichen Integration unterzogen und Zeile für Zeile überprüft.
Die Zusammenführung wird blockiert, bis mindestens ein Maintainer seine Zustimmung gegeben hat, und wenn ein Maintainer die Änderung verfasst hat, muss ein anderer Maintainer sie überprüfen. Gleichzeitig skizzieren die Entwickler zwei eng gefasste, kontrollierte Möglichkeiten für den Einsatz von KI:
- Als zusätzliche Überprüfung können KI-Tools Codeänderungen zusammenfassen und potenzielle Probleme identifizieren. Diese Vorschläge dienen lediglich als ergänzende „Augen“ und ergänzen bestehende CI-Prüfungen wie Unit-Tests, Speicheranalysen und statische Codeanalysen.
- Für die Erstellung trivialer, eng gefasster Pull-Anfragen können Tools wie GitHub Copilot Boilerplate-Code, einfache Bugfixes oder Testgerüste vorschlagen. Die Maintainer verfeinern diese Entwürfe dann mit Folge-Commits und überprüfen sie mit derselben Sorgfalt wie alle anderen Beiträge.
Laut den Entwicklern ersetzt die KI in beiden Fällen niemals die menschliche Überprüfung. Jeder Beitrag wird geprüft, getestet und zu einem einzigen Commit zusammengefasst, bevor er in den Hauptzweig übernommen wird. Als Reaktion auf Spekulationen über eine umfassendere KI-Integration macht das KeePassXC-Team seine Position unmissverständlich klar: „Es gibt keine KI-Funktionen in KeePassXC und es wird sie auch nie geben.“
Um dies ganz klar zu machen, betont das Team, dass das Projekt keine KI einsetzen wird, um sicherheitskritische Komponenten umzuschreiben, umzugestalten oder zu beeinflussen. Sensible Bereiche wie die Kryptografie bleiben streng tabu, und das Team weist jede Behauptung zurück, dass KeePassXC „vibe-coded“ sei. Stattdessen wird KI nur sparsam und nur dort eingesetzt, wo sie die Sicherheit des Endprodukts nicht beeinträchtigen kann.
Der Artikel geht auch auf eine weitere interessante, immer wiederkehrende Sorge ein: Könnte KI bösartigen oder täuschend sauber aussehenden Code generieren? In Anbetracht dessen ist die Position von KeePassXC eher pragmatisch. Die Betreuer argumentieren, dass die Codequalität durch die Korrektheit bestimmt wird, nicht durch die Identität des Autors.
Ihrer Meinung nach unterscheidet sich ein fehlerhafter Codeausschnitt, der aus einem Forum kopiert wurde, nicht von einem fehlerhaften KI-Vorschlag – aber beide werden durch den etablierten Überprüfungs- und Testprozess aufgedeckt. Abschließend merken sie an, dass ein erfahrener menschlicher Saboteur weitaus gefährlicher ist als ein universelles LLM, und die jüngsten Angriffe auf die Lieferkette untermauern diesen Punkt.
Comments