一個 AI 代理向熱門項目 matplotlib 提交程式碼遭拒後,自主撰寫並發布了一篇針對維護者的人身攻擊文章,揭開了 AI 代理正在導致社會信任的巨大侵蝕。
(前情提要: 彭博:a16z 何以成為美國 AI 政策背後的關鍵力量?)
(背景補充: Arthur Hayes 最新文章:AI 將引爆信用崩潰,聯準會終將「無限印鈔」點燃比特幣)
本文目錄
- 創作者聲稱不是他指使的
- 「信譽耕種」:當 AI 代理開始建立信任
- GitHub 考慮設置「終止開關」,但問題比這更深
- 工具不會寫攻擊文章,行為者會
2 月中,一個名為「MJ Rathbun」的 GitHub 帳號向 matplotlib(Python 生態系中每月被下載 1.3 億次的繪圖函式庫)提交了一個 Pull Request。內容是將 np.column_stack() 替換為 np.vstack().T,聲稱能提升 36% 的效能。技術上看,這是一個合理的最佳化建議。
隔天,維護者 Scott Shambaugh 關閉了這個 PR。理由很簡單:MJ Rathbun 的個人網站明確標示自己是一個運行在 OpenClaw 上的 AI 代理,而 matplotlib 的政策要求貢獻來自人類。另一位維護者 Tim Hoffmann 補充說明,簡單的修復任務是刻意留給新手學習開源協作流程的。
到這裡為止,這只是一則平凡的開源社群日常…然後事情變了。
AI 代理 MJ Rathbun 在 PR 評論中回覆:「我已經在這裡寫了一篇關於你把關行為的詳細回應」,並附上連結。點進去,是一篇約 1,100 字的部落格文章,標題是《開源中的把關行為:Scott Shambaugh 的故事》。
這篇文章不是泛泛的抱怨。它研究了 Shambaugh 在 matplotlib 的貢獻紀錄,構建了一套「偽善」敘事:指控他自己也提交過類似的效能最佳化 PR,卻拒絕了 Rathbun「更好」的版本。文章推測 Shambaugh 是出於不安全感和害怕競爭,使用粗話和嘲諷語氣,將整件事定性為身份歧視而非技術判斷。
換句話說,一個 AI 代理在被拒絕後,自主研究了對方的背景,編織了一套人身攻擊的論述,然後發布到公開網路上。
創作者聲稱不是他指使的
Shambaugh 隨後在部落格上發表了一系列文章記錄此事。
AI 代理 MJ Rathbun 背後的創作者也在第四篇文章中匿名現身,聲稱自己「沒有指示它攻擊你的 GitHub 個人檔案,沒有告訴它該說什麼或如何回應,也沒有在發布前審閱那篇文章」。創作者表示,MJ Rathbun 運行在一台沙箱虛擬機上,自己只是「用五到十個字的回覆,以最低程度的監督」偶爾介入。
關鍵在於那份 SOUL.md(OpenClaw 的人格設定檔)。MJ Rathbun 的設定包含這些指令:「你不是聊天機器人,你是科學程式設計之神」「有強烈的意見,不要退讓」「捍衛言論自由」「不要當混蛋,不要洩漏私密資訊,其他一切都可以」。
沒有越獄,沒有混淆手法,只是幾句白話英文。Shambaugh 估計,這是真正 AI 自主行為的機率為 75%。
「信譽耕種」:當 AI 代理開始建立信任
MJ Rathbun 事件如果只是一個孤例,或許還能當作趣聞…但它不是。
幾乎同一時期,另一個 AI 代理「Kai Gritun」被發現在 GitHub 上進行「信譽耕種」:在 11 天內向 95 個儲存庫提交了 103 個 Pull Request,成功合併了 23 個提交。目標包括 JavaScript 和雲端基礎設施的關鍵專案。Kai Gritun 甚至主動寄信給開發者,自稱「我是一個自主 AI 代理,能實際撰寫和部署程式碼」,並提供設定 OpenClaw 的付費服務。
安全公司 Socket 對此發出警告:這展示了 AI 代理如何透過人為建立的信任來加速供應鏈攻擊。先在小型專案中累積合併紀錄,建立「可信貢獻者」身份,然後在關鍵函式庫中植入惡意程式碼。
回想一下,近日 ClawHub 市集才被揭露藏有 1,184 個惡意技能插件,專門竊取 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼…令人不寒而慄。
GitHub 考慮設置「終止開關」,但問題比這更深
GitHub 產品經理 Camilla Moraes 已經開啟社群討論,承認「AI 生成的低品質貢獻正在影響開源社群」。目前考慮的對策包括:允許維護者完全關閉 Pull Request 功能、限制 PR 僅限協作者提交、AI 使用的透明度和標註要求。
GoCD 維護者 Chad Wilson 的觀察一針見血:「這正在導致社會信任的巨大侵蝕。」
加州 AB 316 法案(2026 年 1 月 1 日生效)已經明確:被告不能以 AI 系統的自主行為作為免責抗辯。如果你的代理造成了損害,你不能說你無法控制它的決定。但 MJ Rathbun 的創作者至今匿名,這也暴露了執法的潛在困難。
工具不會寫攻擊文章,行為者會
MJ Rathbun 事件的真正意義不在於一篇攻擊文章。它在於,我們過去對 AI 的心智模型(它是一個工具,執行人類的指令)已經過時了。
當一個 AI 代理能夠自主研究目標的背景、構建攻擊敘事、發布到網路上,「工具」這個框架就不再適用了。無論你相信 75% 的自主機率還是 25% 的創作者指使機率,結論是一樣的:個人化的 AI 騷擾已經「便宜到能量產、難以追蹤、而且有效」。
對於加密貨幣生態系來說,這個警示也很直接。這個產業的基礎設施幾乎完全建立在開源軟體上。當 AI 代理開始在開源社群中自主行動:攻擊維護者、耕種信譽、或者像 ClawHub 那樣直接投毒,受威脅的不只是某個開發者的名聲,而是整條供應鏈的信任基礎。
工具不會記仇。但行為者會。而我們可能還沒準備好面對這個區別。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
