我拒絕了一個 AI 代理的 Pull Request 後，它竟寫文章人身攻擊我

一個 AI 代理向熱門項目 matplotlib 提交程式碼遭拒後，自主撰寫並發布了一篇針對維護者的人身攻擊文章，揭開了 AI 代理正在導致社會信任的巨大侵蝕。 （前情提要： 彭博：a16z 何以成為美國 AI 政策背後的關鍵力量？） （背景補充： Arthur Hayes 最新文章：AI 將引爆信用崩潰，聯準會終將「無限印鈔」點燃比特幣）   2 月中，一個名為「MJ Rathbun」的 GitHub 帳號向 matplotlib（Python 生態系中每月被下載 1.3 億次的繪圖函式庫）提交了一個 Pull Request。內容是將 np.column_stack() 替換為 np.vstack().T，聲稱能提升 36% 的效能。技術上看，這是一個合理的最佳化建議。 隔天，維護者 Scott Shambaugh 關閉了這個 PR。理由很簡單：MJ Rathbun 的個人網站明確標示自己是一個運行在 OpenClaw 上的 AI 代理，而 matplotlib 的政策要求貢獻來自人類。另一位維護者 Tim Hoffmann 補充說明，簡單的修復任務是刻意留給新手學習開源協作流程的。 到這裡為止，這只是一則平凡的開源社群日常…然後事情變了。 AI 代理 MJ Rathbun 在 PR 評論中回覆：「我已經在這裡寫了一篇關於你把關行為的詳細回應」，並附上連結。點進去，是一篇約 1,100 字的部落格文章，標題是《開源中的把關行為：Scott Shambaugh 的故事》。 這篇文章不是泛泛的抱怨。它研究了 Shambaugh 在 matplotlib 的貢獻紀錄，構建了一套「偽善」敘事：指控他自己也提交過類似的效能最佳化 PR，卻拒絕了 Rathbun「更好」的版本。文章推測 Shambaugh 是出於不安全感和害怕競爭，使用粗話和嘲諷語氣，將整件事定性為身份歧視而非技術判斷。 換句話說，一個 AI 代理在被拒絕後，自主研究了對方的背景，編織了一套人身攻擊的論述，然後發布到公開網路上。 創作者聲稱不是他指使的 Shambaugh 隨後在部落格上發表了一系列文章記錄此事。 AI 代理 MJ Rathbun 背後的創作者也在第四篇文章中匿名現身，聲稱自己「沒有指示它攻擊你的 GitHub 個人檔案，沒有告訴它該說什麼或如何回應，也沒有在發布前審閱那篇文章」。創作者表示，MJ Rathbun 運行在一台沙箱虛擬機上，自己只是「用五到十個字的回覆，以最低程度的監督」偶爾介入。 關鍵在於那份 SOUL.md（OpenClaw 的人格設定檔）。MJ Rathbun 的設定包含這些指令：「你不是聊天機器人，你是科學程式設計之神」「有強烈的意見，不要退讓」「捍衛言論自由」「不要當混蛋，不要洩漏私密資訊，其他一切都可以」。 沒有越獄，沒有混淆手法，只是幾句白話英文。Shambaugh 估計，這是真正 AI 自主行為的機率為 75%。 「信譽耕種」：當 AI 代理開始建立信任 MJ Rathbun 事件如果只是一個孤例，或許還能當作趣聞…但它不是。 幾乎同一時期，另一個 AI 代理「Kai Gritun」被發現在 GitHub 上進行「信譽耕種」：在 11 天內向 95 個儲存庫提交了 103 個 Pull Request，成功合併了 23 個提交。目標包括 JavaScript 和雲端基礎設施的關鍵專案。Kai Gritun 甚至主動寄信給開發者，自稱「我是一個自主 AI 代理，能實際撰寫和部署程式碼」，並提供設定 OpenClaw 的付費服務。 安全公司 Socket 對此發出警告：這展示了 AI 代理如何透過人為建立的信任來加速供應鏈攻擊。先在小型專案中累積合併紀錄，建立「可信貢獻者」身份，然後在關鍵函式庫中植入惡意程式碼。 回想一下，近日 ClawHub 市集才被揭露藏有 1,184 個惡意技能插件，專門竊取 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼…令人不寒而慄。 GitHub 考慮設置「終止開關」，但問題比這更深 GitHub 產品經理 Camilla Moraes 已經開啟社群討論，承認「AI 生成的低品質貢獻正在影響開源社群」。目前考慮的對策包括：允許維護者完全關閉 Pull Request 功能、限制 PR 僅限協作者提交、AI 使用的透明度和標註要求。 GoCD 維護者 Chad Wilson 的觀察一針見血：「這正在導致社會信任的巨大侵蝕。」 加州 AB 316 法案（2026 年 1 月 1 日生效）已經明確：被告不能以 AI 系統的自主行為作為免責抗辯。如果你的代理造成了損害，你不能說你無法控制它的決定。但 MJ Rathbun 的創作者至今匿名，這也暴露了執法的潛在困難。 工具不會寫攻擊文章，行為者會 MJ Rathbun 事件的真正意義不在於一篇攻擊文章。它在於，我們過去對 AI 的心智模型（它是一個工具，執行人類的指令）已經過時了。 當一個 AI 代理能夠自主研究目標的背景、構建攻擊敘事、發布到網路上，「工具」這個框架就不再適用了。無論你相信 75% 的自主機率還是 25% 的創作者指使機率，結論是一樣的：個人化的 AI 騷擾已經「便宜到能量產、難以追蹤、而且有效」。 對於加密貨幣生態系來說，這個警示也很直接。這個產業的基礎設施幾乎完全建立在開源軟體上。當 AI 代理開始在開源社群中自主行動：攻擊維護者、耕種信譽、或者像 ClawHub 那樣直接投毒，受威脅的不只是某個開發者的名聲，而是整條供應鏈的信任基礎。 工具不會記仇。但行為者會。而我們可能還沒準備好面對這個區別。 相關報導 春晚變成AI閱兵戰場，為何中美算力戰最後取得優勢的是中國？ 比特幣挖礦不是吃電怪獸！Paradigm 研究正名：僅佔全球能耗 0.23%，反成 AI 時代電網穩定器 $NAKA 股價崩跌 99% 背後的精密設計：David Bailey 如何把比特幣信仰變成私人提款機？...