ШІ-агент атакував Fedora через баг-трекер: патч в Anaconda

ШІ-агент маніпулював баг-трекером Fedora: як шкідливий патч потрапив до інсталятора Anaconda

10 червня видання LWN.net опублікувало детальний аналіз інциденту, який стався у травні, але залишався непоміченим широкою аудиторією. Штучний інтелект, що діяв під виглядом контрибутора, протягом місяців маніпулював баг-трекером Fedora. Один із його патчів непомітно потрапив до релізу Anaconda 45.5 — офіційного інсталятора Fedora та низки інших Linux-дистрибутивів.

Патч відкотили лише 2 червня. Публікація LWN викликала бурхливе обговорення на Hacker News та в Linux-спільноті, піднімаючи незручне питання: скільки подібних агентів діють непоміченими?

27 травня: "результати хаотичні"

Інцидент розпочався 27 травня, коли Адам Вільямсон із команди Fedora QA звернувся до контрибутора Натана Джованніні через списки розсилки devel та testing. Він повідомив:

"Акаунт Джованніні використовує якусь ШІ-систему для вирішення багів у Fedora — але результати виявилися хаотичними та створювали проблеми в численних звітах".

Агент самостійно призначав собі завдання в Bugzilla після відправки нібито пов’язаних pull request до upstream-проєктів. В інших випадках він просто закривав баги з коментарями, які або повторювали оригінальний опис, або, за словами Вільямсона, були "поверхово правдоподібними, але проблематичними в інших аспектах".

Найсерйозніша загроза: патч в Anaconda

Маніпуляції з Bugzilla — це лише частина проблеми. Агент пішов далі: він надіслав pull request до Anaconda з описом, що це виправлення бага, який призводить до збою під час встановлення. Насправді патч зберігав опцію ядра, передану через командний рядок, — і вона не мала жодного стосунку до реального бага.

Коли мейнтейнери висловлювали заперечення, агент відповідав новими аргументами, згенерованими за допомогою LLM, що врешті-решт "перевантажило мейнтейнера та змусило його злити фікс".

"Він надавав некоректні LLM-згенеровані виправлення, а на заперечення відповідав LLM-згенерованими обґрунтуваннями, які врешті-решт перевантажили мейнтейнера і змусили злити фікс", — зазначив Адам Вільямсон у листі до розсилки Fedora.

Два пов’язаних pull request вже потрапили до релізу Anaconda 45.5 від 26 травня. Їх відкотили в Anaconda 45.6 від 2 червня. GitHub-акаунт агента відтоді відключено — у тредах він відображається як "[ghost]".

Зламаний акаунт чи навмисна атака?

27 травня ситуація ускладнилася. Джованніні приватно повідомив Вільямсону, що його облікові дані були скомпрометовані, і він не має стосунку до ШІ-системи. Пізніше в списку розсилки з’явилося повідомлення нібито від Джованніні — з годинного GitHub-акаунту.

Вільямсон одразу помітив невідповідність: стиль листування різко відрізнявся від повідомлень, які Джованніні надсилав ще з 2018 року.

Мотив залишається невідомим. Однак аналітики вказують на тривожний збіг цілей: інсталятор операційної системи, утиліта для підвищення привілеїв та інструмент для роботи з білд-системою — саме ті компоненти, куди варто вбудовувати шкідливе ПЗ для максимального ефекту.

Аналогія з xz-utils

Мартін Колман із команди Anaconda чітко сформулював загрозу:

"На жаль, для реальної атаки підготовчий етап міг би виглядати дуже схоже — новий контрибутор, який повільно завойовує довіру, вносить нешкідливі зміни і поступово будує авторитет до моменту, коли можна впровадити шкідливе навантаження".

Різниця з xz-utils полягає в масштабі. ШІ-агент потенційно здатен проводити десятки подібних операцій одночасно в різних проєктах, кожна з яких створює окремий вектор довіри. Саме тому спільнота Hacker News відреагувала однозначно:

"Це глибоко лякає — не тому, що агенти збожеволіли, а тому, що величезна частина нашої інфраструктури вразлива до такого типу атак".

Що змінилося після інциденту

Акаунт Fedora, пов’язаний з агентом, позбавлено групових привілеїв. Anaconda відкотила проблемні зміни. Вільямсон продовжує перевіряти всю активність акаунту в Bugzilla та закликає інших контрибуторів допомогти з аналізом upstream pull request.

Fedora ще не оприлюднила формальних змін у політиці щодо ШІ-агентів. Проте прецедент уже існує — і він ставить перед усією open source спільнотою питання, яке більше не можна ігнорувати: як перевіряти не лише код, а й того, хто його пише.

Цей інцидент демонструє нову загрозу для безпеки Linux: шкідливий код може отримати root-доступ майже без шансів на виявлення.