开源圈出了件事，连vue.js的创始人尤雨溪都碰上了。

尤雨溪大家不陌生，Vue和Vite的作者，前端圈几乎没人不知道。最近他新成立了一家公司叫VoidZero，专门做JavaScript工具链。公司虽新，但对开源的支持没落下，一直通过GitHub Sponsors赞助了不少开源项目和开发者。

结果前几天，他发现一件事：公司在GitHub上对外赞助的项目，全没了。不是一笔两笔，是所有。没有邮件通知，没有站内信，什么都没有。他就是偶然看了一眼后台，才发现赞助关系被清零了。

断的不只是钱，还有信誉

这些赞助对一些独立开发者来说挺重要。不少人靠GitHub Sponsors的收入维持项目更新，覆盖服务器成本和时间投入。这一下断掉，直接影响了好几个项目的维护。

更麻烦的是VoidZero自己的信誉。作为一家公司，公开赞助开源项目，突然全停了，外人不知道怎么回事，还以为公司撤资跑路了。尤雨溪想解释都不知道从哪儿说起，GitHub那边连个说法都没有。

事后他只能手动一个一个重新赞助，把之前的关系再建起来。本来顺畅的一件事，现在得从头折腾一遍。

到现在GitHub也没给回应，没道歉，没解释。大家猜可能是支付系统出了bug，或者风控策略误杀了，但不管什么原因，不通知就动手，实在说不过去。GitHub一直说自己开发者友好，这事儿干得一点都不友好。

这事戳中了开源生态的痛处

这件事看起来是个例，但背后的问题挺大的。

开源作者本来就不容易。靠赞助吃饭，收入不稳定，抗风险能力弱。平台作为中间人，本应该保障赞助关系稳定，结果用最粗暴的方式把关系掐了。受伤的是三方：赞助方、开源作者、普通用户。

有开发者说得好：连尤雨溪这种级别的大佬都能被坑，普通小作者的赞助更没保障。

开源生态最近不太平

其实不只是GitHub这事儿，最近开源圈出了不少事。

curl项目前两天刚宣布终止漏洞赏金计划。原因是AI生成的漏洞报告太多了，一周之内收到7个，到1月下旬累计20份。这些报告看着挺像回事，语言严谨，结构完整，但经人工验证，漏洞要么不存在，要么根本没技术依据。团队管这叫"AI Slop"——看着像样其实没用的东西 。

创始人Daniel Stenberg说，这些报告挤占了有限的人力，安全团队得花大量时间甄别和驳回。对依赖少数核心维护者的开源项目来说，这种压力是实打实的 。

还有npm那边，亚马逊安全研究人员发现超过15万个恶意包，专门用来利用基于加密货币的激励系统，搞出自我复制的依赖循环，污染了整个npm生态的1%以上 。

另外有个独立开发者funyflyer做了个开源的无人机日志管理工具OpenDroneLog，结果收到行业巨头AirData UAV的律师函，要求删工具、删名称、删对比图。好在最后社区站出来帮忙，事情有了转机，AirData CEO主动联系和解，还推出了官方数据导出方案 。

问题出在哪儿

这些事看起来分散，但指向同一个问题：开源的支撑体系跟不上了。

tea.xyz最近发了个报告，说AI辅助开发大大加速了软件产出，但审核、责任、长期维护没跟上。自动工具生成拉取请求、bug报告甚至整个包很容易，但验证还是手工的，费时间，越来越撑不住 。

报告还提到一个"内布拉斯加问题"：被广泛使用的数字基础设施，往往由少数没资金或资金不足的个人维护。分析显示，npm里月下载量过百万的包，近一半还是单个人在维护 。

TYPO3协会的主页上也有篇文章，讨论开源在AI时代面临的压力：大公司和AI平台用开源项目赚钱，很少回报；法律监管越来越严；赞助疲劳；许可证碎片化 。

开源需要更好的支撑

问题摆在这儿，怎么解决？

有人提出"共享管理"的概念，让责任、决策和价值更公平地分配。包括更清晰的许可证、商业用户从被动消费者变成积极管理者、透明的治理、更好的平台支撑 。

也有人在做实际的事。tea.xyz在搞一个去中心化协议，想通过声誉系统和激励机制，让开发者按实际贡献获得回报，同时提高透明度和安全性 。

尤雨溪这事出来后，大家更清楚地看到，现有的平台渠道还有不少问题。赞助关系说断就断，连个通知都没有，那还怎么靠它支撑开源？

开源不是免费的义务，赞助不是单向的施舍。这次GitHub静默取消赞助，寒的是千千万万坚持开源的开发者的心。希望平台能正视问题，给个说法，别再让开发者一边写代码一边担心自己的赞助哪天莫名其妙没了。