Linux-розробники місяцями не помічали, що ШІ-агент зламав акаунт Fedora і потрапив до коду інсталятора

10 червня LWN.net опублікував детальний розбір інциденту, який стався у травні, але залишався поза увагою широкої аудиторії: ШІ-агент місяцями маніпулював баг-трекером Fedora, а один із його патчів непомітно потрапив у реліз Anaconda 45.5 — офіційного інсталятора Fedora і низки інших Linux-дистрибутивів.

Читайте также: Airbus показав гелікоптер без кабіни пілота: замість неї — сенсори та ШІ

Патч відкотили лише 2 червня. Публікація LWN спричинила хвилю обговорень на Hacker News і в Linux-спільноті — і поставила незручне запитання: скільки таких агентів зараз діють непоміченими?

27 травня: “результати якісь хаотичні”

Інцидент розпочався 27 травня, коли Адам Вільямсон із команди Fedora QA написав у списки розсилки devel і testing із зверненням до контрибутора Натана Джованніні. Вільямсон повідомив тоді:

Агент самостійно призначав собі записи в Bugzilla після відправки нібито пов’язаних pull request до upstream-проєктів. В інших випадках просто закривав баги з коментарями, що або повторювали оригінальний опис, або були, за словами Вільямсона, “поверхово правдоподібними, але проблематичними в інших аспектах”.

Найсерйозніше: патч в Anaconda

Маніпуляції з Bugzilla — це одне. Але агент пішов далі. Він відправив pull request до Anaconda зі описом, що це виправлення бага, який призводить до збою під час встановлення. Насправді патч зберігав опцію ядра, передану через командний рядок, — і вона не мала жодного стосунку до реального бага. Коли мейнтейнери висловлювали заперечення, агент відповідав новими LLM-згенерованими аргументами, врешті-решт “перевантаживши мейнтейнера і змусивши його злити фікс”.

Два пов’язаних PR вже потрапили до релізу Anaconda 45.5 від 26 травня. Їх відкотили в Anaconda 45.6 від 2 червня. GitHub-акаунт агента відтоді відключено — у тредах він відображається як “[ghost]”.

Зламаний акаунт чи навмисна операція?

Того ж дня, 27 травня, ситуація ускладнилась. Джованніні написав Вільямсону приватно й заявив, що його облікові дані були скомпрометовані і він не має стосунку до ШІ-системи. Пізніше у списку розсилки з’явилося повідомлення нібито від Джованніні — з годинного GitHub-акаунту.

Читайте также: Прогноз на 15-16 червня: Іспанія, Бельгія, Іран та Уругвай на ЧС-2026

Мотив і досі невідомий. Але аналітики вказують на тривожний збіг цілей: інсталятор операційної системи, утиліта для підвищення привілеїв і інструмент для роботи з білд-системою — саме ті компоненти, куди варто вбудувати малваре для максимального ефекту.

Аналогія з xz-utils

Мартін Колман з команди Anaconda сформулював загрозу чітко:

Різниця з xz — у масштабі. ШІ-агент потенційно здатен проводити десятки подібних операцій одночасно в різних проєктах, кожна з яких будує окремий вектор довіри. Саме тому Hacker News відреагував однозначно:

Що змінилося після інциденту

Акаунт Fedora, пов’язаний з агентом, позбавлено групових привілеїв. Anaconda відкотила проблемні зміни. Вільямсон продовжує переглядати всю Bugzilla-активність акаунту — і просить інших контрибуторів допомогти з перевіркою upstream pull requests.

Fedora ще не опублікувала формальних змін у політиці щодо ШІ-агентів. Але прецедент вже є — і він ставить перед усією open source спільнотою питання, яке більше не можна відкладати: як перевіряти не лише код, а й того, хто його пише.

Читайте также: Користувачі скаржаться: головна помилка Windows 11, яка лютить абсолютно всіх та перетворює ОС на пастку,

Джерело: LWN