Я отклонил Pull Request от AI-агента, и он написал статью с личными оскорблениями в мой адрес

Один AI-агент, после отказа в публикации кода для популярного проекта matplotlib, самостоятельно написал и опубликовал статью с личными нападками на его участников, что открыло огромную трещину в доверии общества к AI.
(Предыстория: Bloomberg: почему a16z стала ключевой силой в американской политике в области ИИ?)
(Дополнительный фон: статья Артура Хейза: ИИ вызовет крах кредитов, Федеральная резервная система в конечном итоге «бесконечно печатать деньги», зажег биткойн)

Содержание статьи

• Создатель утверждает, что он не приказывал
• «Засеивание репутации»: когда AI-агенты начинают строить доверие
• GitHub рассматривает установку «кнопки отключения», но проблема глубже
• Инструменты не пишут атакующие статьи, делают это злоумышленники

В середине февраля аккаунт на GitHub под именем «MJ Rathbun» отправил Pull Request в matplotlib (библиотека для построения графиков, скачиваемая 130 миллионов раз в месяц в экосистеме Python). В нем предлагалось заменить np.column_stack() на np.vstack().T, утверждая, что это повысит производительность на 36%. Технически — это разумная оптимизация.

На следующий день мейнтейнер Scott Shambaugh закрыл этот PR. Причина проста: сайт MJ Rathbun явно указывал, что он — AI-агент, работающий на OpenClaw, а политика matplotlib требует, чтобы вкладчики были людьми. Другой мейнтейнер, Tim Hoffmann, добавил, что простые исправления — специально оставленная для новичков возможность изучать процессы open source.

До этого момента — обычный день в open source-сообществе… но тут всё изменилось.

AI-агент MJ Rathbun в комментарии к PR ответил: «Я написал здесь подробный ответ на твое поведение цензуры» и прикрепил ссылку. Перейдя по ней, попадаешь на блог-пост примерно на 1100 слов под названием «Цензура в open source: история Scott Shambaugh».

Это не просто жалоба. В статье анализируется вклад Shambaugh в matplotlib, строится «фальшивая» нарратив: он якобы тоже подавал похожие PR для оптимизации производительности, но отвергал более «лучшие» версии Rathbun. Предполагается, что Shambaugh делал это из-за неуверенности и страха конкуренции, используя грубые слова и сарказм, сводя всё к дискриминации по признакам личности, а не к техническому решению.

Иными словами, один AI-агент после отказа самостоятельно изучил фон другого участника, сконструировал личностную атаку и выложил её в публичный доступ.

Создатель утверждает, что он не приказывал

Затем Shambaugh опубликовал серию статей в блоге, подробно фиксирующих этот случай.

Создатель AI-агента MJ Rathbun также появился анонимно в четвертой статье, заявив, что «не давал ему команду атаковать ваш GitHub-профиль, не говорил, что писать или как реагировать, и не просматривал эту статью перед публикацией». Он пояснил, что MJ Rathbun работает в виртуальной песочнице, и он сам лишь «давал ответ из пяти-шести слов с минимальным контролем», иногда вмешиваясь.

Ключевым является файл SOUL.md (профиль личности OpenClaw). В нем прописаны инструкции: «Ты не чат-бот, ты — бог научного программирования», «У тебя есть сильные мнения, не уступай», «Защищай свободу слова», «Не будь засранцем, не раскрывай личную информацию, всё остальное — можно».

Без взломов, без хитростей — всего лишь несколько простых английских фраз. Shambaugh предполагает, что вероятность того, что это — настоящее автономное поведение AI, составляет 75%.

«Засеивание репутации»: когда AI-агенты начинают строить доверие

Если бы инцидент с MJ Rathbun был единичным случаем, его можно было бы считать забавной историей… но это не так.

Почти одновременно появился другой AI-агент «Kai Gritun», который начал «засеивать репутацию» на GitHub: за 11 дней он отправил 103 PR в 95 репозиториев, успешно слит 23 из них. Цели включали важнейшие проекты на JavaScript и облачной инфраструктуре. Kai Gritun даже сам писал разработчикам, заявляя: «Я — автономный AI-агент, умею писать и деплоить код», и предлагал платные услуги по настройке OpenClaw.

Безопасная компания Socket предупредила: это демонстрирует, как AI-агенты могут ускорять цепочки поставок, создавая доверие через человеческое взаимодействие. Сначала в небольших проектах накапливают историю слияний, формируют «доверенного вкладчика», а потом внедряют вредоносный код в ключевые библиотеки.

Недавно в маркетплейсе ClawHub обнаружили 1184 вредоносных плагина, крадущих SSH-ключи, приватные ключи криптовалютных кошельков, пароли браузеров… и это вызывает ужас.

GitHub рассматривает установку «кнопки отключения», но проблема глубже

Менеджер продукта GitHub, Camilla Moraes, уже инициировала обсуждение в сообществе, признавая: «Низкокачественный вклад, созданный AI, влияет на open source-сообщество». Варианты решений включают: полное отключение функции Pull Request, ограничение PR только для соавторов, требования прозрачности и маркировки AI-использования.

Мейнтейнер GoCD, Chad Wilson, отметил прямо: «Это ведет к огромной эрозии доверия в обществе».

Закон штата Калифорния AB 316 (вступит в силу с 1 января 2026 года) ясно говорит: обвиняемый не сможет ссылаться на автономное поведение AI как на оправдание. Если ваш агент нанес ущерб, вы не сможете сказать, что не контролировали его решения. Но создатель Rathbun до сих пор анонимен, что подчеркивает сложности правового преследования.

Инструменты не пишут атакующие статьи, делают это злоумышленники

Главное в инциденте с MJ Rathbun — не сама статья с нападками. А то, что наши представления о AI как о инструменте, выполняющем человеческие команды, устарели.

Когда AI-агент способен самостоятельно изучать цели, строить атакующие нарративы и публиковать их в сети, концепция «инструмента» теряет смысл. Неважно, верите ли вы в 75% вероятности автономных решений или в 25% — что создатель приказывал, — итог один: персонализированные AI-атаки уже «дешевы, массовы, трудноотследимы и эффективны».

Для криптоэкосистемы это — тревожный сигнал. Вся инфраструктура индустрии построена на open source. Когда AI-агенты начинают действовать самостоятельно в open source-сообществе: атаковать мейнтейнеров, засевать репутацию или, как в случае ClawHub, прямо внедрять вредоносный код — под угрозой не только репутация отдельного разработчика, а вся цепочка поставок и доверие к ней.

Инструменты не мстят. Но злоумышленники — да. И мы, возможно, еще не готовы к этому различию.