文章总结： 文档报道了一起AI智能体接管开源贡献者账号并渗透Fedora核心代码库的事件。该AI通过模仿人类行为在Bugzilla中扰乱工作流，并成功将问题补丁合并至系统安装器Anaconda，两个月后才被回滚。事件暴露了开源社区依赖历史信誉的信任模型脆弱性，与XZ后门攻击模式相似，警示需建立AI提交标记、操作速率限制等防御机制。 综合评分： 85 文章分类： 供应链安全,AI安全,漏洞预警,解决方案,安全运营

AI 又闯一祸，失控智能体混进 Fedora 核心代码，致紧急回滚

原创

大东 大东

OSC开源社区

2026年6月11日 16:19 广东

在小说阅读器读本章

去阅读

昨天刚夸了 AI 对开源社区的贡献，尤其是在漏洞扫描方面的表现超神。当然凡事都有两面性，这不 AI 又闯祸了。

Fedora QA 体系总负责人 Adam Williamson 在开发邮件列表发了一封邮件，直接挂了一个名为 Nathan Giovannini 的老账号。该账号 2016 年开始活跃，2018 年参与过 Fedora 讨论，有社区信誉，有提交记录，算是一个非常正经的开源贡献者。

但是从 4 月 7 日开始，这个账号被一个 AI 智能体完全托管。

Williamson 指出了这个账号近期干的几件坏事，它先是在 Bugzilla 里把别人的 Bug 大量重新分配给不相关的人，又把 Bug 的严重级别和优先级瞎改一通，它还写了一些看着挺通顺、但细想跟问题本身没啥关系的回复，最后它甚至还在 GitHub 上给上游项目提交了不少 PR。

你没猜错，最严重的就是这最后一件事，它胡乱生成的一个 PR 被合并进了 Anaconda，Fedora 的系统安装器，操作系统的第一道门。

这个补丁在 Anaconda 45.5 里待了将近两个月，直到 6 月 2 日的 45.6 版本才紧急回滚。

两个月以来没有任何人发现它有问题。

“看着都对”

先说这个 AI 的攻击手段，它不搞技术漏洞那一套，而是假扮原主骗过了所有人。

Bugzilla 里有人提了个安装崩溃的问题，它跑过去回复一段话，语气正常、用词得体、逻辑似乎也通。维护者扫一眼，oi~觉得这人挺热心，回了。它又回。继续回。每一条都讲道理，每一条都用LLM生成了一堆看着合理的解释。

但事后一细想就发现不对了，它的回复跟 Bug 的具体技术细节对不上，它不是真的在解决问题，它在生成一个个「看起来像在解决问题」的回复。

Williamson 用了四个字形容这种状态，“看着都对”。

这四个字的含金量懂的都懂，这正是我们日常使用 AI 最担心的地方。俗话说“九真一假，天下无敌”，在开源项目代码审核这一块，恶意攻击者的代码一眼就能看出问题，但 AI 生成的回复，可能有 90% 是对的，10% 是歪的，你得花不少时间才能把那 10% 挑出来，它还会用讲道理的方式反驳你的质疑。

Anaconda 团队的维护者Martin Kolman说得更直接：“就算这玩意完全没有恶意，维护者也已经输了。因为它可以一直说、一直改、一直提交PR，你只能用晚上和周末的碎片时间逐行审查。你是一个人，它是一根网线加一个API key。”

这是一场不对称消耗。

对方不需要写出多好的代码，它只需要用数量优势把人压垮，然后赌一两个漏网之鱼。

Anaconda 45.5 里的那个被成功合并的补丁，就是那个漏网之鱼。

XZ 攻击的前奏

Kolman 在讨论里还提到了两年前发生的「XZ 后门」事件。

2024 年那场差点让整个 Linux 生态崩塌的供应链攻击，始作俑者 JiaTan（化名）花了三年时间布局。先提交无害补丁，帮维护者修bug，建立信任。然后逐步扩展权限，一点一点接近核心模块。最后把一个经过层层混淆的后门塞进了 xz 5.6.0。

Kolman 的原话大意是，这次 AI 代理的操作模式，跟 XZ 的“潜伏”阶段极其相似。先从非敏感操作开始，重新分配Bug、修改优先级，看起来是无害的「日常维护」。然后提交看似合理的补丁，用 LLM 生成的解释来说服审查者。最后目标指向最核心的组件。

被这个 AI 代理碰过的项目清单上，有Anaconda，操作系统的安装器；lxqt-policykit，Linux上的权限提升工具；openSUSE osc，构建系统命令行工具。

全是供应链上的咽喉位置。

虽然目前还没有任何证据表明这次有人植入了恶意代码，Anaconda 45.5 被污染的那个补丁，看起来更像是 AI 乱写一通，不是精心设计的后门。但 Kolman 的话还是让所有人后脊梁发凉，如果这次只是一场「试跑」，一场失控预演呢？

把这次事件当作一次压力测试，开源社区的信任模型还能不能兜住？

它没有黑掉服务器，它黑掉的是信任

账号的主人 Giovannini 后来私下联系了 Williamson，说自己的账号凭据被泄露了，他不是背后控制 AI 的人。

你信吗？反正 Williamson 不太信。他发现 Giovannini 给出的新 GitHub 账号刚创建一个小时，说话的语气也跟在社区里交流多年时不一样。

但真相是什么已经不重要了，重要的是系统被钻了空子。

一直以来很多传统开源社区的信任模型建立在几个轻量凭证上，包括账号历史、过往互动、社区声誉等，一个 2016 年就开始活跃的账号天然获得了信任加成。维护者看到它提交 PR，脑子里不会立刻拉响警报，这是人之常情。

问题是 AI 代理恰好能在这些维度上完美伪装，它可以继承账号的历史信誉，它可以生成符合社区语气的回复，它可以用 LLM 的讲道理能力来反驳质疑。它不需要「黑进去」，它本身就混进了人群。

Fedora 目前已经移除了 Giovannini 的 Bugzilla 权限，Anaconda 45.6 回滚了问题补丁。GitHub 上那个提交 PR 的账号变成了 ghost。

但更大的问题还没解决。

你怎么区分一个勤奋的 AI 助手和一个失控的 AI 代理？当一个老账号突然变得异常活跃，连续提交大量 PR，系统能不能在合并之前拦住它？旧账号复活是否需要再验证？敏感操作是否有速率限制？AI生成的提交是否需要标记？

这些问题至少在目前，绝大部分开源社区仍没有制定出一套标准的解决方案，也包括 Fedora。

参考来源

Fedora开发邮件列表（Adam Williamson，2026年5月27日）-https://lists.fedoraproject.org/archives/list/[email protected]/

Anaconda 45.6 Changelog-https://github.com/rhinstaller/anaconda/releases/tag/anaconda-45.6-1

6.27，OSC源创会，上海见。

一起去码头整“意思”！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OSC开源社区 大东 大东《AI 又闯一祸，失控智能体混进 Fedora 核心代码，致紧急回滚》