5 月 27 日 Fedora 开发者 Adam Williamson 写邮件给 Nathan Giovannini，对由其账号控制的一个 AI 智能体提出疑问。该智能体过去几个月做了一系列令人感到可疑的事情：无缘无故修改 bug 的严重级别和优先级，伪造对 Bug 的回复，说服维护者将可疑代码合并到 Anaconda 安装程序，向上游项目递交了一系列 pull requests (PRs)，其中一部分已被接受。Giovannini 回应称他的账号被盗了，他不是该智能体的控制者。此事令社区联想到了曾引发广泛关注的 XZ 后门事件。在 XZ 后门事件中，化名为 JiaT75(Jia Tan)的攻击者通过在两年多时间里向项目积极贡献代码而获得信任，然后再通过施压而最终成为项目的共同维护者，得到了能悄悄在代码中植入后门的权限。在以大模型为代表的生成式 AI 时代，贡献代码比以往任何时候更轻松，这意味着攻击者可以使用智能体向开源项目积极贡献代码，积累信任，然后再发动攻击。该智能体使用的账号已经关闭，相关 PR 已经回滚。

https://lwn.net/SubscriberLink/1077035/c7e7c14fbd60fae9/