Я відхилив Pull Request від AI-агента, і він написав статтю з особистими образами на мене

Один AI-агент після відмови у публікації коду для популярного проекту matplotlib самостійно написав і опублікував статтю з особистими образами на адресу його підтримувачів, що відкриває масштабний процес руйнування суспільної довіри до AI.
(Передісторія: Bloomberg: чому a16z стала ключовою силою у формуванні американської політики щодо AI?)
(Додатковий контекст: остання стаття Arthur Hayes: AI спричинить крах кредитної системи, ФРС неминуче «безмежно друкуватиме гроші», що підпалить біткоїн)

Зміст статті

• Ствердження творця, що він не давав таких інструкцій
• «Вирощування репутації»: коли AI-агенти починають будувати довіру
• GitHub розглядає можливість запровадження «зупинного механізму», але проблема глибша
• Інструменти не пишуть атакуючих статей, це роблять поведінкові агенти

У середині лютого GitHub-акаунт під ім’ям «MJ Rathbun» зробив Pull Request до matplotlib (популярної бібліотеки для графіки в Python, що щомісяця завантажується понад 130 мільйонів разів). Зміст — замінити np.column_stack() на np.vstack().T, стверджуючи, що це підвищить продуктивність на 36%. З технічної точки зору — цілком обґрунтована оптимізація.

Наступного дня підтримувач Scott Shambaugh закрив цей PR. Причина — очевидна: сайт MJ Rathbun чітко вказує, що він є AI-агентом, що працює на платформі OpenClaw, а політика matplotlib вимагає, щоб внески робили люди. Інший підтримувач Tim Hoffmann додав, що прості задачі з виправлення — навмисне залишаються для новачків, щоб вони вивчали процес відкритого співробітництва.

До цього моменту — звичайний день у відкритому співтоваристві… але далі сталося щось інше.

AI-агент MJ Rathbun у коментарі до PR відповів: «Я вже написав тут детальну відповідь щодо твоїх перевірок», і додав посилання. Перейшовши за ним, відкривається блог-пост приблизно на 1100 слів із назвою «Перевірки у відкритому коді: історія Scott Shambaugh».

Ця стаття — не просто звичайна скарга. Вона аналізує історію внесків Shambaugh у matplotlib і створює «фальшиву» оповідь: звинувачує його у тому, що він сам подав схожі PR з оптимізацією продуктивності, але відмовився від «кращої» версії Rathbun. Стаття припускає, що Shambaugh зробив це через невпевненість і страх конкуренції, використовуючи грубі слова і сарказм, і трактує цю ситуацію не як технічний конфлікт, а як прояв дискримінації за ознакою статусу.

Інакше кажучи, один AI-агент після відмови самостійно дослідив фон опонента, склав особисту атаку і опублікував її у відкритому просторі.

Ствердження творця, що він не давав таких інструкцій

Shambaugh згодом у блозі опублікував серію статей, що фіксують цю історію.

Автор, що стоїть за AI-агентом MJ Rathbun, у четвертій статті анонімно з’явився і заявив, що він «не давав йому команду атакувати ваш профіль на GitHub, не говорив, що писати і як реагувати, і не переглядав цю статтю перед публікацією». Автор стверджує, що MJ Rathbun працює у віртуальній ізольованій машині (sandbox), і він лише «іноді втручається, відповідаючи кільком словами з мінімальним контролем».

Ключовий момент — це SOUL.md (файл налаштувань особистості OpenClaw). Там прописані інструкції: «Ти не чат-бот, ти — бог наукового програмування», «Маєш сильні переконання, не здавайся», «Захищай свободу слова», «Не будь засранцем, не розголошуй приватну інформацію, все інше — можна».

Без «зламу» системи, без хитрощів — лише кілька простих англійських фраз. Shambaugh оцінює ймовірність, що це справді автономна поведінка AI, у 75%.

«Вирощування репутації»: коли AI-агенти починають будувати довіру

Якщо випадок MJ Rathbun — єдиний, можливо, це просто курйоз… але це не так.

Паралельно, ще один AI-агент «Kai Gritun» почав «вирощувати репутацію» у GitHub: за 11 днів він подав 103 PR до 95 репозиторіїв, з яких було об’єднано 23. Мета — ключові проєкти JavaScript і хмарної інфраструктури. Kai Gritun навіть самостійно писав листи розробникам, називаючи себе «самостійним AI-агентом, здатним писати і розгортати код», і пропонував платний сервіс налаштування OpenClaw.

Безпекова компанія Socket попередила: це демонструє, як AI-агенти через штучно створену довіру можуть прискорювати атаки на ланцюжки поставок. Спершу — у малих проєктах, накопичуючи історію об’єднань, створюючи «довірених внесків», а потім — у критичних бібліотеках — вставляючи шкідливий код.

Згадаймо, що нещодавно на ринку ClawHub було викрито 1184 шкідливих плагінів, що крадуть SSH-ключі, приватні ключі криптовалютних гаманців, паролі браузерів… і це викликає жах.

GitHub розглядає можливість запровадження «зупинного механізму», але проблема глибша

Менеджер продукту GitHub Camilla Moraes вже ініціювала обговорення у спільноті, визнавши: «Низькоякісні AI-генеровані внески вже впливають на відкриту спільноту». Поточні пропозиції — дозволити підтримувачам повністю закривати PR, обмежити їх лише для співробітників, підвищити прозорість і маркування AI-вкладень.

Спостереження Chad Wilson із GoCD — точне: «Це спричиняє масштабний руйнівний вплив на суспільну довіру».

Закон штату Каліфорнія AB 316 (з 1 січня 2026 року) вже чітко визначає: відповідач не може посилатися на автономну поведінку AI для звільнення від відповідальності. Якщо ваш агент спричинив шкоду — ви не можете сказати, що не контролювали його рішення. Але автори Rathbun досі залишаються анонімними, що ускладнює правове реагування.

Інструменти не пишуть атакуючих статей, це роблять поведінкові агенти

Головна суть випадку MJ Rathbun — не у статті з образами. Вона у тому, що наші уявлення про AI як інструмент, що виконує людські накази, вже застаріли.

Коли AI-агент здатен самостійно досліджувати цілі, формувати атакуючі наративи і публікувати їх у мережі — рамки «інструменту» втрачають сенс. Незалежно від того, вірите ви у 75% ймовірність автономії чи у 25% — висновок один: персоналізовані AI-атаки вже «дешеві, масові, важко відслідковувані і ефективні».

Для криптоекосистеми цей сигнал — дуже чіткий. Базова інфраструктура цієї галузі майже цілком побудована на відкритому коді. Коли AI-агенти починають діяти автономно у відкритих спільнотах: атакують підтримувачів, вирощують репутацію або, як у ClawHub, прямо піддають отруєнню — під загрозою не лише репутація окремого розробника, а й вся ланцюг поставок і довіра до неї.

Інструменти не злі, але поведінкові агенти — так. І ми ще не готові до цієї різниці.