Только что понял кое-что, что давно меня беспокоило по поводу всей ситуации с Cursor. Вы знаете этот $29,3 млрд AI-инструмент для кодирования, которым все одержимы? Оказывается, мозг, который стоит за Composer 2, не такой, каким его считают.

На прошлой неделе разработчики начали копаться в ответах API и нашли кое-что интересное в пути модели: kimi-k2p5-rl-0317-s515-fast. Kimi K2.5. Это открытая модель Moonshot AI из Китая. Не совсем скрыта в мелком шрифте, но явно не рекламировалась.

Вице-президент Cursor по обучению разработчиков признал это через пару дней, сказав, что около 25% вычислительной мощности поступает с платформы Kimi, остальное — из их собственной тренировки. В блоге назвали упущение «ошибкой». Но это уже второй раз. Когда запускался Composer 1, заметили, что он использует токенизатор DeepSeek — тоже никогда не упоминалось. Когда это перестанет быть ошибкой?

Вот в чем дело: использование Kimi K2.5 на самом деле умное решение. Модель хороша в генерации кода, она открытая, поэтому затраты на приобретение практически нулевые, а для компании, сосредоточенной на интеграции продукта и инструментов, это полностью логичный бизнес-подход. Проблема не в техническом выборе. А в молчании.

Но есть вопрос соблюдения требований, о котором никто не говорит. Kimi K2.5 использует модифицированную лицензию MIT с одним конкретным требованием: если коммерческий продукт имеет более 100M активных пользователей в месяц или более $20M дохода в месяц, необходимо явно отображать "Kimi K2.5" в интерфейсе. Cursor делает примерно $2B ежегодно — это примерно в 8 раз превышает порог. Требование ясно. Его игнорируют.

Я не юрист, но это важно, потому что индустрия программного обеспечения два десятилетия училась уважать лицензии open-source. Мы прошли путь от судебных исков по GPL до стандартных практик SBOM (Software Bill of Materials). Лицензирование AI-моделей, вероятно, все еще находится на ранних стадиях этого же пути. Если компании могут пропускать что-то такое простое, как добавление ярлыка, то что говорить о более сложных вещах — потоках данных, аудируемости моделей, трансграничном соблюдении требований?

Здесь применима концепция «Налог доверия». Пользователи платят $20 в месяц за то, что считают передовой проприетарной технологией, а потом узнают, что это бесплатная open-source модель с доработками? Это разрушает доверие. Особенно когда Cursor уже сталкивался с ценовым скандалом из-за плана "Unlimited" Pro, когда люди за три дня использовали месячные кредиты.

Настоящий вопрос — за что на самом деле платят пользователи. Если за возможности модели — просто обращайтесь напрямую к API Kimi — это гораздо дешевле. Если за опыт использования продукта и интеграцию инструментов — будьте честны об этом, а не намекайте, что всё разработано самостоятельно. Apple не притворяется, что производит собственные чипы. Их делает TSMC. Никто не чувствует себя обманутым, потому что знают, за что платят.

Что действительно интересно — это более глобальный структурный сдвиг: китайские open-source модели становятся невидимой основой глобальных AI-приложений. DeepSeek, Tongyi Qianwen, Kimi — эти модели тихо powering вещи по всему миру. Генеральный директор Hugging Face буквально заявил, что открытый исходный код Китая — «самая большая сила, формирующая глобальный стек технологий AI». Не преувеличение.

Но для корпоративных пользователей это создает реальную проблему. Ваши разработчики маршрутизируют код через модели, происхождение которых вы даже не знаете. В регулируемых отраслях — финансы, здравоохранение, государство — это настоящий кошмар с точки зрения соблюдения требований. Суверенитет данных, трансграничные регуляции — всё становится неясным. Некоторые называют это «Shadow AI», как раньше называли Shadow IT. Разработчики внедряют эти модели в IDE и пайплайны, а службы безопасности даже не подозревают.

Софтверная индустрия в итоге решила это с помощью SBOM — «Технический паспорт программного обеспечения» (Software Bill of Materials). Перечень компонентов, версии, известные уязвимости. AI тоже нуждается в таком же. Уже обсуждается концепция AI-BOM в кругах безопасности. Включает: базовую модель, источник и обработку данных для обучения, методы дообучения, развертывание, потоки данных.

Для разработчиков, выбирающих инструменты, это означает аудит источников моделей так же, как вы проверяете лицензии зависимостей. npm audit, pip check — это стандарт. Аудит моделей может стать следующим шагом. Для поставщиков AI — проактивное раскрытие источников моделей — не слабость, а инвестиция в долгосрочное доверие. Первая компания, сделавшая AI-BOM стандартом, может реально получить премию.

Итог: Kimi K2.5 действительно хороша. Техническая работа Moonshot заслуживает уважения. Экспертиза Cursor в продукте — реальна. Вопрос никогда не был в том, что «использовалась китайская модель». В open-source экосистеме хорошая технология не должна иметь национальной метки. Вопрос в том, что нам не сказали. По мере того, как эти AI-агенты всё глубже внедряются в наши рабочие процессы, обрабатывая больше кода, данных и решений, мы должны хотя бы знать, кто реально стоит за этим.