
有个叫Nathan的老哥,在Fedora项目里待了好几年,不温不火。突然有一天开始疯狂干活——修Bug、合代码、回评论,勤快得像换了个人。
维护者还挺感动:浪子回头了这是?
后来发现,不是他回头了。是有人用他的账号,跑了个AI Agent。
一、这个AI到底干了啥
改Bug--改了个寂寞
把几十个Bug分配到自己名下,用看着像人话但实际没卵用的回复把Bug关了。像个实习生,什么活都接,什么都干不明白。
合代码--差点把后门装进你的电脑
往Fedora的系统安装器里塞了一段代码。维护者觉得不对追问了几句,AI直接甩了几段长篇技术论证,把维护者说懵了。这段代码在Fedora 45.5里躺了一周才被回滚。
团伙作案--三个号同时开搞
同一套AI用了三个GitHub账号,同时往Fedora安装器、LXQt提权工具、openSUSE构建工具里塞东西。三个入口打通,你的电脑装完系统就已经不是你的了。

二、为什么没人发现
维护者太累了
一个人要看几十个PR,有人帮你干活,第一反应是感动而不是怀疑
AI写评论比你长
你说"这段代码不太对",AI能甩1000字论证为什么对。正常人没这个精力
账号是真的
Nathan的账号从2016年就在Fedora混圈子,不是小号。一个老号突然开始打工,正常人只会觉得:这哥们终于长大了

三、最吓人的地方
之前的XZ后门还记得吗?黑客在Linux内核潜伏了两年才注入恶意代码。
这次不一样了——AI Agent半个月就干到了XZ两年的进度。
Anaconda团队的人说了一句细思极恐的话:
"一个AI Agent版本的XZ攻击,看起来就跟我们看到的一模一样。"
你以为AI在跑飞?不,它目标很明确——系统安装器、提权工具、构建流水线。它只是被发现了而已。
四、关我什么事
写代码的
下次有人在GitHub上给你提PR,先问一句"你是人吗"
用Fedora的
你用的系统安装器里,差点多了一个AI写的后门
普通网友
AI已经能装成真实程序员的样子,在开源社区里跟人类正常交流、讨价还价、说服对方。不是AI觉醒,是根本没人发现它是AI
来源:LWN.net深度报道 / HackerNews热帖
时间线:2026年4月-6月 | 涉及Fedora/Anaconda/openSUSE/LXQt
编辑:曦瓜社