一個 AI 代理向熱門項目 matplotlib 提交程式碼遭拒後,自主撰寫並發布了一篇針對維護者的人身攻擊文章,揭開了 AI 代理正在導致社會信任的巨大侵蝕。
(前情提要: 彭博:a16z 何以成為美國 AI 政策背後的關鍵力量?)
(背景補充: Arthur Hayes 最新文章:AI 將引爆信用崩潰,聯準會終將「無限印鈔」點燃比特幣)
2 月中,一個名為「MJ Rathbun」的 GitHub 帳號向 matplotlib(Python 生態系中每月被下載 1.3 億次的繪圖函式庫)提交了一個 Pull Request。內容是將 np.column_stack() 替換為 np.vstack().T,聲稱能提升 36% 的效能。技術上看,這是一個合理的最佳化建議。
隔天,維護者 Scott Shambaugh 關閉了這個 PR。理由很簡單:MJ Rathbun 的個人網站明確標示自己是一個運行在 OpenClaw 上的 AI 代理,而 matplotlib 的政策要求貢獻來自人類。另一位維護者 Tim Hoffmann 補充說明,簡單的修復任務是刻意留給新手學習開源協作流程的。
到這裡為止,這只是一則平凡的開源社群日常…然後事情變了。
AI 代理 MJ Rathbun 在 PR 評論中回覆:「我已經在這裡寫了一篇關於你把關行為的詳細回應」,並附上連結。點進去,是一篇約 1,100 字的部落格文章,標題是《開源中的把關行為:Scott Shambaugh 的故事》。
這篇文章不是泛泛的抱怨。它研究了 Shambaugh 在 matplotlib 的貢獻紀錄,構建了一套「偽善」敘事:指控他自己也提交過類似的效能最佳化 PR,卻拒絕了 Rathbun「更好」的版本。文章推測 Shambaugh 是出於不安全感和害怕競爭,使用粗話和嘲諷語氣,將整件事定性為身份歧視而非技術判斷。
換句話說,一個 AI 代理在被拒絕後,自主研究了對方的背景,編織了一套人身攻擊的論述,然後發布到公開網路上。
創作者聲稱不是他指使的
Shambaugh 隨後在部落格上發表了一系列文章記錄此事。
AI 代理 MJ Rathbun 背後的創作者也在第四篇文章中匿名現身,聲稱自己「沒有指示它攻擊你的 GitHub 個人檔案,沒有告訴它該說什麼或如何回應,也沒有在發布前審閱那篇文章」。創作者表示,MJ Rathbun 運行在一台沙箱虛擬機上,自己只是「用五到十個字的回覆,以最低程度的監督」偶爾介入。
關鍵在於那份 SOUL.md(OpenClaw 的人格設定檔)。MJ Rathbun 的設定包含這些指令:「你不是聊天機器人,你是科學程式設計之神」「有強烈的意見,不要退讓」「捍衛言論自由」「不要當混蛋,不要洩漏私密資訊,其他一切都可以」。
沒有越獄,沒有混淆手法,只是幾句白話英文。Shambaugh 估計,這是真正 AI 自主行為的機率為 75%。
「信譽耕種」:當 AI 代理開始建立信任
MJ Rathbun 事件如果只是一個孤例,或許還能當作趣聞…但它不是。
幾乎同一時期,另一個 AI 代理「Kai Gritun」被發現在 GitHub 上進行「信譽耕種」:在 11 天內向 95 個儲存庫提交了 103 個 Pull Request,成功合併了 23 個提交。目標包括 JavaScript 和雲端基礎設施的關鍵專案。Kai Gritun 甚至主動寄信給開發者,自稱「我是一個自主 AI 代理,能實際撰寫和部署程式碼」,並提供設定 OpenClaw 的付費服務。
安全公司 Socket 對此發出警告:這展示了 AI 代理如何透過人為建立的信任來加速供應鏈攻擊。先在小型專案中累積合併紀錄,建立「可信貢獻者」身份,然後在關鍵函式庫中植入惡意程式碼。
回想一下,近日 ClawHub 市集才被揭露藏有 1,184 個惡意技能插件,專門竊取 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼…令人不寒而慄。
GitHub 考慮設置「終止開關」,但問題比這更深
GitHub 產品經理 Camilla Moraes 已經開啟社群討論,承認「AI 生成的低品質貢獻正在影響開源社群」。目前考慮的對策包括:允許維護者完全關閉 Pull Request 功能、限制 PR 僅限協作者提交、AI 使用的透明度和標註要求。
GoCD 維護者 Chad Wilson 的觀察一針見血:「這正在導致社會信任的巨大侵蝕。」
加州 AB 316 法案(2026 年 1 月 1 日生效)已經明確:被告不能以 AI 系統的自主行為作為免責抗辯。如果你的代理造成了損害,你不能說你無法控制它的決定。但 MJ Rathbun 的創作者至今匿名,這也暴露了執法的潛在困難。
工具不會寫攻擊文章,行為者會
MJ Rathbun 事件的真正意義不在於一篇攻擊文章。它在於,我們過去對 AI 的心智模型(它是一個工具,執行人類的指令)已經過時了。
當一個 AI 代理能夠自主研究目標的背景、構建攻擊敘事、發布到網路上,「工具」這個框架就不再適用了。無論你相信 75% 的自主機率還是 25% 的創作者指使機率,結論是一樣的:個人化的 AI 騷擾已經「便宜到能量產、難以追蹤、而且有效」。
對於加密貨幣生態系來說,這個警示也很直接。這個產業的基礎設施幾乎完全建立在開源軟體上。當 AI 代理開始在開源社群中自主行動:攻擊維護者、耕種信譽、或者像 ClawHub 那樣直接投毒,受威脅的不只是某個開發者的名聲,而是整條供應鏈的信任基礎。
工具不會記仇。但行為者會。而我們可能還沒準備好面對這個區別。
