Тільки що зрозумів одну річ, яка мене турбувала щодо ситуації з Cursor. Ви знаєте цей $29.3 млрд AI-інструмент для кодування, яким всі захоплюються? Виявляється, мозок, що стоїть за Composer 2, не такий, яким ви його уявляєте.

Минулого тижня розробники почали копатися у відповідях API і знайшли щось цікаве у шляху моделі: kimi-k2p5-rl-0317-s515-fast. Kimi K2.5. Це відкритий модель Moonshot AI з Китаю. Не зовсім прихована у дрібному друку, але й явно не рекламована.

Віце-президент Cursor з освіти для розробників через кілька днів підтвердив, що близько 25% обчислювальної потужності походить від платформи Kimi, решта — від їхнього власного навчання. Він назвав пропуск у блозі «помилкою». Але це вже другий раз. Коли запустили Composer 1, люди помітили, що він використовує токенізатор DeepSeek — також ніколи не згадувався. Коли це перестане бути помилкою?

Однак є одна важлива річ: використання Kimi K2.5 насправді розумне. Модель міцна у генерації коду, вона відкритий код, тому вартість придбання фактично нульова, а для компанії, яка зосереджена на рівні продукту та інтеграції інструментів, це цілком логічно. Проблема не у технічному виборі. Вона у мовчанні.

Але є питання відповідності, про яке ніхто не говорить. Kimi K2.5 використовує модифіковану ліцензію MIT з одним конкретним вимогою: якщо комерційний продукт має понад 100М активних користувачів на місяць або понад $20М щомісячного доходу, потрібно помітно вказати «Kimi K2.5» у інтерфейсі. Cursor робить приблизно $2B щорічно — це приблизно у 8 разів більше за цю межу. Вимога чітка. Її ігнорують.

Я не юрист, але це важливо, бо індустрія програмного забезпечення протягом двох десятиліть вчилася поважати ліцензії з відкритим кодом. Ми пройшли шлях від судових позовів за GPL до стандартної практики SBOM. Ліцензування моделей AI, ймовірно, ще на початкових етапах цього ж шляху. Якщо компанії можуть пропустити щось таке просте, як додавання ярлика, то що тоді казати про складніше — потоки даних, аудит моделей, відповідність у різних країнах?

Існує концепція, яка називається «Податок довіри», і вона тут застосовується. Користувачі платять $20 на місяць за те, що вважають передовою пропрієтарною технологією, а потім дізнаються, що це безкоштовна модель з відкритим кодом з налаштуваннями? Це руйнує довіру. Особливо, коли Cursor вже мав проблеми з ціноутворенням через план «Unlimited» Pro, де люди швидко витрачали місячні кредити за три дні.

Головне питання — за що насправді платять користувачі? Якщо за можливості моделі, просто звертайтеся безпосередньо до API Kimi — це набагато дешевше. Якщо за досвід продукту та інтеграцію інструментів — тоді будьте чесними і не натякайте, що все самостійно розроблено. Apple не претендує на виробництво власних чипів. Вони їх замовляють у TSMC. Ніхто не відчуває себе обдуреним, бо знає, за що платить.

Найцікавіше тут — це більша структурна зміна: китайські моделі з відкритим кодом стають невидимою основою глобальних AI-застосунків. DeepSeek, Tongyi Qianwen, Kimi — вони тихо забезпечують роботу по всьому світу. Генеральний директор Hugging Face буквально сказав, що відкритий код у Китаї — «найбільша сила, що формує глобальний стек технологій AI». Не перебільшує.

Для корпоративних користувачів це створює реальну проблему. Ваші розробники маршрутизують код через моделі, походження яких ви навіть не знаєте. У регульованих галузях — фінансах, охороні здоров’я, уряді — це справжній ризик відповідності. Суверенітет даних, міждержавні регуляції — все стає неясним. Деякі називають це «Shadow AI», як і раніше Shadow IT. Розробники інтегрують ці моделі у IDE та пайплайни, а служби безпеки навіть не підозрюють.

Зрештою, індустрія програмного забезпечення вирішила цю проблему за допомогою SBOM — «Об’єм матеріалів програмного забезпечення». Це список компонентів, версій, відомих вразливостей. AI потребує того ж. AI-BOM вже обговорюється у колах безпеки. Туди потрібно включити: базову модель, джерело та обробку навчальних даних, метод донастроювання, розгортання, потоки даних.

Для розробників, які обирають інструменти, це означає аудит джерел моделей так само, як ви перевіряєте ліцензії залежностей. npm audit, pip check — це стандарт. Аудит моделей може стати наступним кроком. Для постачальників AI — прозоре розкриття джерел моделей не є слабкістю, а інвестицією у довгострокову довіру. Перша компанія, яка зробить AI-BOM стандартом, можливо, зможе отримати додаткову ціну.

Підсумовуючи: Kimi K2.5 справді хороша. Технічна робота Moonshot заслуговує на повагу. Експертиза Cursor у продукті реальна. Проблема ніколи не була у тому, що «використовували китайську модель». В екосистемі з відкритим кодом хороша технологія не повинна мати національну позначку. Проблема у тому, що нам не сказали. Оскільки ці AI-агенти все глибше вплітаються у наші робочі процеси, обробляючи більше коду, даних і рішень, ми маємо хоча б знати, хто насправді стоїть за цим.