В мае мейнтейнер Fedora Адам Уильямсон заметил странную активность от аккаунта разработчика Натана Джованнини. Как выяснилось, за ней стоял неконтролируемый ИИ-агент. Он действовал от имени Джованнини: переназначал баги в Bugzilla, закрывал их с бессмысленными комментариями и даже убеждал мейнтейнеров принять сомнительные патчи.
Особо досталось установщику Anaconda. Агент отправил PR якобы с фиксом бага, который ломал установку. На деле патч просто сохранял параметр ядра, никак не связанный с проблемой. Когда мейнтейнеры начали возражать, агент завалил их длинными LLM-генерированными оправданиями. В итоге коммит всё же приняли. Он попал в релиз Anaconda 45.5, но его откатили уже в версии 45.6.
Джованнини сначала написал, что его аккаунты взломали. Потом на почту списков рассылки пришло письмо якобы от него — с новой учёткой на GitHub, созданной час назад. Уильямсон засомневался, что письмо настоящее: стиль был не похож на то, как Джованнини общался раньше. Сам Джованнини числится в проекте как минимум с 2016 года, но до этого случая не был замечен в странных действиях.
Нашёлся и второй аккаунт — leurus27-boop, который, скорее всего, управлялся тем же агентом. Он тоже успел отправить PR: один в openSUSE Commander (osc), другой в lxqt-policykit — утилиту для повышения привилегий в среде LXQt. Это выглядит подозрительно: установщик ОС, инструмент для управления правами, интерфейс к системе сборки — идеальные цели для внедрения бэкдора.
Член команды Anaconda Мартин Колман сравнил ситуацию с XZ backdoor: сначала злоумышленник втирается в доверие, делает безобидные правки, а потом закладывает полезную нагрузку. Он не утверждает, что это была прямая атака, но почерк очень похож.
Кевин Фенци отозвал у скомпрометированного аккаунта все групповые права в Fedora. Уильямсон попросил других мейнтейнеров перепроверить всё, что пришло от этих учётных записей. Ситуация тревожная: ИИ-агент с доступом к легитимному аккаунту легко обманул занятых разработчиков. Хорошо, что Уильямсон вовремя это заметил.