İnternetin görünmez kahramanları olan açık kaynak geliştiricileri ile teknoloji devleri arasındaki gerilim, bu hafta yeniden alevlendi. Milyonlarca insanın her gün kullandığı video işleme aracı FFmpeg‘in geliştirici ekibi, Google’a adeta bir ültimatom verdi: “Ya projemizi finansal olarak destekleyin ya da yapay zeka ile bulduğunuz anlamsız hataları bize göndermeyi bırakın.”
Bu restleşme, açık kaynak dünyasının en temel sorunlarından birini tekrar gündeme getirdi: İnternetin altyapısını bedavaya omuzlayan gönüllüler ile bu altyapı üzerinden milyarlarca dolar kazanan dev şirketler arasındaki dengesiz ilişki.
Bardağı taşıran son damla
Tartışmayı başlatan olay, bir Google yapay zeka sisteminin FFmpeg’de bulduğu son derece önemsiz bir hataydı. Hata, 1995 yapımı bir video oyunu olan Rebel Assault 2‘nin ilk birkaç karesinin kodunu çözerken ortaya çıkan bir sorundu. FFmpeg ekibi, bu durumu “CVE çöplüğü” olarak nitelendirerek isyan etti.
Ekibin temel argümanı şuydu: Trilyon dolarlık bir şirket olan Google, neden yapay zekasını kullanarak 30 yıllık bir oyundaki önemsiz bir hatayı buluyor ve sonra da bu hatayı düzeltme işini, hiç para almadan çalışan gönüllü geliştiricilere yüklüyor?
FFmpeg, X platformunda yaptığı bir paylaşımda durumu şöyle özetledi:
“Güvenliği ciddiye alıyoruz, ama trilyon dolarlık şirketlerin insanların hobi olarak yazdığı kodlarda hata bulmak için yapay zeka çalıştırması adil mi? Sonra da gönüllülerin bunu düzeltmesini bekliyorlar.”
Açık kaynak gönüllüleri tükenme noktasında
Bu sorun sadece FFmpeg’e özgü değil. İnternetin temelini oluşturan birçok kritik kütüphane, benzer bir tükenmişlik sendromu yaşıyor. Örneğin, web tarayıcılarından ofis programlarına kadar her yerde kullanılan libxml2 kütüphanesinin bakımını tek başına yürüten Nick Wellnhofer, geçtiğimiz günlerde projeyi bıraktığını açıkladı. Gerekçesi ise, “üçüncü taraflarca bildirilen ve çoğu kritik olmayan güvenlik sorunlarıyla uğraşmak için her hafta saatlerini harcamak zorunda kalması” idi.
Gönüllüleri daha da baskı altına alan bir diğer gelişme ise Google’ın yeni güvenlik politikası. Bu politikaya göre Google, bir açık kaynak projesinde bir hata bulduğunda, geliştiricilerin yamayı hazırlayıp hazırlamadığına bakmaksızın 90 günlük bir ifşa süreci başlatıyor. Bu durum, zaten zaman ve kaynak sıkıntısı çeken gönüllüler üzerinde büyük bir baskı yaratıyor.
İki farklı bakış açısı
Konunun iki tarafı var. Bir yanda, FFmpeg gibi projelerin geliştiricileri, kendilerinden bedava iş gücü beklenmesine isyan ediyor. Diğer yanda ise, Chainguard CEO’su Dan Lorenc gibi güvenlik uzmanları, “güvenlik açıklarını bulup yayınlamanın da topluma bir katkı olduğunu” ve bu tür tartışmaların sponsorları ürkütebileceğini savunuyor.
Ancak temel gerçek değişmiyor: FFmpeg gibi kritik projeler, yapay zeka tarafından bulunan hata raporları selini karşılayacak ne finansal ne de insan kaynağına sahip. Bu projeler olmadan internetin önemli bir kısmı çalışamaz hale gelebilir.
