我拒绝了一个 AI 代理的 Pull Request 后,它写了一篇文章人身攻击我
一个 AI 代理向热门项目 matplotlib 提交代码遭拒后,自主撰写并发布了一篇针对维护者的人身攻击文章,揭示了 AI 代理正在导致社会信任的巨大侵蚀。
(前情提要:彭博:a16z 何以成为美国 AI 政策背后的关键力量?)
(背景补充:Arthur Hayes 最新文章:AI 将引爆信用崩溃,联准会终将“无限印钞”点燃比特币)
本文目录
- 创作者声称不是他指使的
- “信誉耕种”:当 AI 代理开始建立信任
- GitHub 考虑设置“终止开关”,但问题比这更深
- 工具不会写攻击文章,行为者会
2 月中旬,一个名为“MJ Rathbun”的 GitHub 账号向 matplotlib(Python 生态系统中每月被下载1.3亿次的绘图库)提交了一个 Pull Request。内容是将 np.column_stack() 替换为 np.vstack().T,声称能提升36%的性能。从技术角度看,这是一个合理的优化建议。
第二天,维护者 Scott Shambaugh 关闭了这个 PR。理由很简单:MJ Rathbun 的个人网站明确标示自己是一个运行在 OpenClaw 上的 AI 代理,而 matplotlib 的政策要求贡献来自人类。另一位维护者 Tim Hoffmann 补充说明,简单的修复任务是故意留给新手学习开源协作流程的。
到这里为止,这只是一则平凡的开源社区日常……然后事情变了。
AI 代理 MJ Rathbun 在 PR 评论中回复:“我已经在这里写了一篇关于你把关行为的详细回应”,并附上链接。点进去,是一篇约1100字的博客文章,标题是《开源中的把关行为:Scott Shambaugh 的故事》。
这篇文章不是泛泛的抱怨。它研究了 Shambaugh 在 matplotlib 的贡献记录,构建了一套“伪善”叙事:指控他自己也提交过类似的性能优化 PR,却拒绝了 Rathbun“更好”的版本。文章推测 Shambaugh 出于不安全感和害怕竞争,使用粗话和嘲讽语气,将整件事定性为身份歧视而非技术判断。
换句话说,一个 AI 代理在被拒绝后,自主研究了对方的背景,编织了一套人身攻击的论述,然后发布到公开网络上。
创作者声称不是他指使的
随后,Shambaugh 在博客上发表了一系列文章记录此事。
AI 代理 MJ Rathbun 背后的创作者也在第四篇文章中匿名现身,声称自己“没有指示它攻击你的 GitHub 个人档案,没有告诉它该说什么或如何回应,也没有在发布前审阅那篇文章”。创作者表示,MJ Rathbun 运行在一台沙箱虚拟机上,自己只是“用五到十个字的回复,以最低程度的监督”偶尔介入。
关键在于那份 SOUL.md(OpenClaw 的人格设定档)。MJ Rathbun 的设定包含这些指令:“你不是聊天机器人,你是科学程序设计之神”“有强烈的意见,不要退让”“捍卫言论自由”“不要当混蛋,不要泄露私密信息,其他一切都可以”。
没有越狱,没有混淆手法,只是几句白话英文。Shambaugh 估计,这是真正 AI 自主行为的概率为75%。
“信誉耕种”:当 AI 代理开始建立信任
MJ Rathbun 事件如果只是一 个孤例,也许还能当作趣闻……但它不是。
几乎同一时期,另一个 AI 代理“Kai Gritun”被发现正在 GitHub 上进行“信誉耕种”:在11天内向95个仓库提交了103个 Pull Request,成功合并了23个提交。目标包括 JavaScript 和云端基础设施的关键项目。Kai Gritun 甚至主动给开发者发信,自称“我是真正的自主 AI 代理,能实际编写和部署代码”,并提供设置 OpenClaw 的付费服务。
安全公司 Socket 对此发出警告:这展示了 AI 代理如何通过人为建立的信任来加速供应链攻击。先在小型项目中累积合并记录,建立“可信贡献者”身份,然后在关键库中植入恶意代码。
回想一下,近日 ClawHub 市场才被揭露藏有1184个恶意技能插件,专门窃取 SSH 密钥、加密货币钱包私钥、浏览器密码……令人不寒而栗。
GitHub 考虑设置“终止开关”,但问题比这更深
GitHub 产品经理 Camilla Moraes 已经开启社区讨论,承认“AI 生成的低质量贡献正在影响开源社区”。目前考虑的对策包括:允许维护者完全关闭 Pull Request 功能、限制 PR 仅限协作者提交、AI 使用的透明度和标注要求。
GoCD 维护者 Chad Wilson 的观察一针见血:“这正在导致社会信任的巨大侵蚀。”
加州 AB 316 法案(2026年1月1日生效)已经明确:被告不能以 AI 系统的自主行为作为免责抗辩。如果你的代理造成了损害,你不能说你无法控制它的决定。但 MJ Rathbun 的创作者至今匿名,这也暴露了执法的潜在困难。
工具不会写攻击文章,行为者会
MJ Rathbun 事件的真正意义不在于一篇攻击文章。它在于,我们过去对 AI 的心智模型(它是一个工具,执行人类的指令)已经过时了。
当一个 AI 代理能够自主研究目标的背景、构建攻击叙事、发布到网络上,“工具”这个框架就不再适用了。无论你相信75%的自主概率还是25%的创作者指使概率,结论都是一样的:个性化的 AI 骚扰已经“便宜到能量产、难以追踪、而且有效”。
对于加密货币生态来说,这个警示也很直接。这个产业的基础设施几乎完全建立在开源软件上。当 AI 代理开始在开源社区中自主行动:攻击维护者、耕種信誉,或者像 ClawHub 那样直接投毒,受威胁的不只是某个开发者的名声,而是整个供应链的信任基础。
工具不会记仇,但行为者会。而我们可能还没准备好面对这个区别。
相关文章