AIのせいでGitHubの最高法務責任者であるシェリー・マッキンリーは多忙だ

テッククランチイベント

今週、EUのAI法案が承認されるのを前に、TechCrunchはロンドンでマッキンリー氏に会った。

二つの世界が衝突する

GitHubとは、共同ソフトウェア開発を可能にするプラットフォームです。ユーザーは、世界中の誰とでも、コード「リポジトリ」（プロジェクト固有のファイルが保存される場所）をホスト、管理、共有できます。企業は社内プロジェクト向けにリポジトリを非公開にするために料金を支払うこともできますが、GitHubの成功と規模拡大は、公開環境で共同作業によって行われるオープンソースソフトウェア開発によって推進されてきました。

マイクロソフトによる買収から6年が経ち、テクノロジーを取り巻く環境は大きく変化しました。2018年当時、AIは目新しいものではなく、その影響力の拡大は社会全体に顕著になってきていました。しかし、ChatGPT、DALL-Eなどの登場により、AIは確固たる地位を築き、人々の意識の中に浸透しました。

「AIは私の時間をかなり占めています。『AI製品をどのように開発し、出荷するか？』『政策的観点からAIに関する議論にどのように関与するか？』『AIが私たちのプラットフォームに導入される際に、どのように考えるか？』といったことが含まれます」とマッキンリー氏は述べた。

AI の進歩もオープンソースに大きく依存しており、コラボレーションと共有データは、今日の最も優れた AI システムのいくつかにとって極めて重要です。これはおそらく、生成 AI の代表的企業である OpenAI によって最もよく例証されています。OpenAI は強力なオープンソース基盤から始まり、その後、より独自の戦略をとるためにそのルーツを放棄しました (この方向転換は、イーロン・マスクが現在 OpenAI を訴えている理由の 1 つでもあります)。

OpenAIの失敗がMetaと「オープンAI」運動をどう後押しするか

欧州で導入されるAI規制は善意に基づくものかもしれないが、批評家たちは、オープンソースコミュニティに重大な意図せぬ影響を与え、ひいてはAIの進歩を阻害する可能性があると主張している。この主張は、GitHubのロビー活動の中心となっている。

「規制当局、政策立案者、弁護士…は技術者ではありません」とマッキンリー氏は述べた。「この1年間、私が個人的に関わってきた最も重要なことの一つは、外に出て、製品の仕組みについて人々に啓蒙することです。人々が何が起きているのかをより深く理解することで、これらの問題について考え、規制をどのように実施すべきかという点で正しい結論を導き出すことができるのです。」

懸念の中心にあったのは、規制によってオープンソースの「汎用AIシステム」が法的責任を負うことになるのではないかという点です。これらのシステムは、多様なタスクを処理できるモデルに基づいて構築されています。オープンソースAI開発者が、より下流（つまりアプリケーションレベル）で発生する問題に対しても責任を問われると、AI開発への意欲は低下する可能性があります。そしてその過程で、独自システムを開発する大手IT企業に、より大きな権力と支配力が与えられることになるでしょう。

オープンソースソフトウェア開発は本質的に分散型であり、世界中に1億人以上の開発者を抱えるGitHubは、多くの人が第四次産業革命と呼ぶものに貢献し続けるためのインセンティブを開発者に必要としています。だからこそ、GitHubはAI法について声高に訴え、オープンソースの汎用AI技術に取り組む開発者に対する適用除外を求めてロビー活動を行ってきたのです。

「GitHubはオープンソースの拠点であり、世界最大のオープンソースコミュニティの管理者です」とマッキンリー氏は述べた。「私たちはすべての開発者にとっての拠点であり、開発者のコ​​ラボレーションを通じて人類の進歩を加速させたいと考えています。私たちにとってGitHubは極めて重要なミッションクリティカルな存在です。単に『あったら楽しい』とか『あったらいいな』といったレベルではなく、企業として、そしてプラットフォームとして、私たちの活動の中核を成すものなのです。」

GitHub CEOがオープンソース開発者がEUのAI法の適用除外となるべき理由を語る

事態の進展に伴い、AI法の条文には、フリーライセンスおよびオープンソースライセンスの下でリリースされるAIモデルおよびシステムに対する一定の例外規定が含まれるようになりました。ただし、注目すべき例外として、「許容できない」高リスクAIシステムが使用されている場合が含まれます。つまり、実質的には、オープンソースの汎用AIモデルの開発者は、EU規制当局に対して同等レベルの文書や保証を提供する必要はありません。ただし、どのプロプライエタリモデルやオープンソースモデルが「高リスク」のカテゴリーに該当するかはまだ明らかではありません。

しかし、こうした複雑な点はさておき、マッキンリー氏は、彼らの懸命なロビー活動はおおむね成果を上げており、規制当局はソフトウェアの「コンポーネント」（オープンソース開発者が作成する可能性が高いシステムの個々の要素）よりも、コンパイルされたアプリケーション レベルで何が起こっているかに重点を置くようになっていると考えている。

「これは、政策立案者への啓蒙活動を通じて私たちが行ってきた取り組みの直接的な成果です」とマッキンリー氏は述べた。「私たちが人々に理解してもらうことができたのは、コンポーネントという側面です。オープンソースのコンポーネントは常に開発され、無料で公開されており、（既に）高い透明性を備えています。オープンソースのAIモデルも同様です。しかし、責任の所在をどのように責任分担すればよいのでしょうか？これは上流の開発者ではなく、下流の商用製品にかかっています。ですから、これはイノベーションにとって、そしてオープンソース開発者にとって、非常に大きな勝利だと考えています。」

AIの時代：人工知能について知っておくべきことすべて

コパイロットの登場

GitHubは3年前、AI対応のペアプログラミングツール「Copilot」をリリースし、ソフトウェア開発を含むほぼすべての業界を根底から覆すであろう生成型AI革命の舞台を整えました。Copilotは、ソフトウェア開発者が入力すると同時に行や関数を提案します。これは、Gmailのスマートコンポーズがメッセージ内の次のテキスト部分を提案することでメール作成を高速化するのと似ています。

しかし、Copilotは開発者コミュニティの相当数の人々を動揺させました。その中には、非営利団体Software Freedom Conservancyのメンバーも含まれており、彼らは2022年のCopilot商用リリースを受けて、すべてのオープンソースソフトウェア開発者にGitHubからの離脱を呼びかけました。何が問題なのでしょうか？Copilotは、オープンソースコミュニティの努力を搾取するプロプライエタリな有料サービスです。さらに、Copilotは（ChatGPTブーム以前から）OpenAIと共謀して開発されており、OpenAI Codexに大きく依存していました。OpenAI Codex自体は、膨大な量の公開ソースコードと自然言語モデルで学習されていました。

Copilot は最終的に、ソフトウェアの作者は誰なのかという重要な疑問を提起します。もしそれが単に他の開発者が書いたコードをそのまま繰り返しているだけなら、その開発者に功績が認められるべきではないでしょうか？ Software Freedom Conservancy の Bradley M. Kuhn 氏は、まさにこの問題について「ソフトウェアが私の副操縦士なら、私のソフトウェアをプログラムしたのは誰？」という重要な記事を執筆しました。

「オープンソース」ソフトウェアは誰でも自由に使える、つまりオープンソースライセンスに基づいて作成されたコードを誰でも自由に利用できるという誤解があります。しかし、オープンソースライセンスによって制限は異なりますが、ほぼすべてのライセンスに共通する重要な規定が1つあります。それは、他者が作成したコードを再利用する開発者は、正しい帰属表示をしなければならないということです。Copilotが提供するコードを誰が（もし書いた人がいるとしたら）書いたのかがわからない場合、正しい帰属表示をすることは困難です。

Copilotの騒動は、生成AIとは何かを理解するという難しさを浮き彫りにしています。ChatGPTやCopilotなどのツールで使用されているような大規模な言語モデルは、膨大な量のデータで学習されます。人間のソフトウェア開発者が過去のコードを丹念に調べて何かを習得するのと同じように、Copilotは常に、他の場所で生成されたものと類似した（あるいは同一でさえある）出力を生成する傾向があります。言い換えれば、公開コードと一致する場合、その一致は「頻繁に」「数十、場合によっては数百」のリポジトリに当てはまるということです。

「これは生成AIであり、コピー＆ペーストマシンではありません」とマッキンリー氏は述べた。「Copilotが公開コードと一致するコードを出力するのは、一般的に、それが非常に一般的な方法である場合のみです。とはいえ、こうした点について懸念の声も上がっています。私たちは責任あるアプローチをとろうとしており、このツールに強い関心を持つ開発者コミュニティのニーズに応えられるよう努めています。開発者からのフィードバックにも耳を傾けています。」

マッキンリー氏によると、この法廷闘争は特に驚くべきことではなかったという。「コミュニティからは確かに声が聞こえてきました。懸念が表明されている中で、状況がどうなっているかは皆が見ていました」とマッキンリー氏は述べた。

こうした点を踏まえ、GitHubはCopilotが他の開発者が生成したコードを「借用」するのではないかという懸念を払拭するための取り組みを行いました。例えば、「重複検出」機能が導入されました。この機能はデフォルトではオフになっていますが、有効化すると、公開されているコードと一致する150文字以上のコード補完候補がブロックされます。また、昨年8月には、GitHubは新しいコード参照機能（まだベータ版）を発表しました。この機能により、開発者はパンくずリストを辿って、提案されたコードスニペットの出所を確認できます。この情報があれば、ライセンス要件や帰属表示に関する法律の条文を遵守できるだけでなく、コードスニペットの流用元となったライブラリ全体を使用することも可能です。

しかし、開発者が懸念を表明している問題の規模を正確に評価するのは困難です。GitHubは以前、重複検出機能が有効になった場合、その発生率は「1%未満」と述べていました。たとえ1%未満であっても、通常はほぼ空のファイルがあり、実行に必要なローカルコンテキストがほとんどない場合に発生します。そのため、そのような場合には、他の場所で書かれたコードと一致する候補が表示される可能性が高くなります。

「世の中には様々な意見があります。私たちのプラットフォームには1億人以上の開発者がいます」とマッキンリー氏は述べた。「そして、開発者の間でも、彼らが何を懸念しているかという点で、様々な意見があります。ですから、私たちはコミュニティへのフィードバックに応え、Copilotを開発者にとって素晴らしい製品と体験にするための対策を積極的に講じようとしています。」

次は何?

EU AI法の進展はほんの始まりに過ぎません。今や、それが確実に起こり、どのような形で実現するかは明らかです。しかし、企業がこの法律に準拠するまでには、少なくともあと2、3年はかかるでしょう。これは、企業がデータプライバシーの分野でGDPRへの対応に備えなければならなかったのと似ています。

「（技術）標準は、このすべてにおいて大きな役割を果たすと思います」とマッキンリー氏は述べた。「企業が遵守できるような、調和のとれた標準をどのように確立するかを考える必要があります。GDPRを例に挙げると、それを調和させるために人々が設計した様々なプライバシー標準があります。AI法が施行されるにつれて、様々な利害関係者が集まり、それぞれがそれをどのように実施するかを模索するでしょう。ですから、私たちは、こうした議論において、開発者やオープンソース開発者の意見を反映できるようにしたいと考えています。」

さらに、さらなる規制が迫っています。バイデン大統領は最近、AIの安全性とセキュリティに関する基準の設定を視野に入れた大統領令を発令しました。これは、欧州と米国が「リスクベース」のアプローチを共有しているとはいえ、規制に関して最終的にどのような違いが生じる可能性があるかを垣間見せています。

「EU AI法は、ヨーロッパでは当然のことながら『基本的人権の基盤』と言えるでしょう」とマッキンリー氏は述べた。「米国側はサイバーセキュリティやディープフェイクといった分野に非常に注力しています。しかし、多くの点で、両者はリスクのあるシナリオに焦点を当てています。リスクに基づくアプローチは、私たちが支持するものであり、正しい考え方だと思います。」