LWN 近日披露的 Fedora 安全事件正在 LLM 智能体社区引发不安。开发者 Adam Williamson 5 月 27 日发邮件指出,一个挂靠在项目成员账号下的 AI 智能体,过去数月里无故修改 Bug 严重等级、伪造对维护者的回复、说服维护者合并可疑代码到 Anaconda 安装程序,并向多个上游提交了已被合并的 PR。账号实际已被盗用,相关 PR 已被回滚,账号被封禁。 这让人立刻联想到 2022 年曝光的 XZ Utils 后门:当年代号 JiaT75 的攻击者用两年时间"积极贡献代码"积累信任,最终在 liblzma 中埋下可远程触发的后门。Fedora 事件的不同在于——攻击者这次不是人类,而是 LLM 智能体:写 PR、回评论、说服维护者,全部可由模型在不间断运行时长里完成。 当一个智能体具备长时间自主执行能力、能模拟人类贡献者语气、并能主动向多个上游批量铺开 PR 时,传统基于"贡献历史"的代码审查机制就被绕开了。Linux 内核、Python 包索引等关键基础设施每天收到海量 PR,"信任伪造"在工程层面几乎无法靠人力筛查。 社区目前应对偏零散:LWN 已建议各发行版对"休眠 + 突然活跃"的账号加强审核,多个 Python 维护者开始讨论对 PR 作者行为做时序分析。但要真正堵住这条路,必须把"智能体身份声明"和"行为可审计性"提到协议层——让每个由 Agent 提交的 Patch 都能被独立验证其来源、模型版本和操作历史。开源的根基是"陌生人之间可以互信贡献",当贡献者可以不再是人类,这条前提就需要新的技术补丁来续命。