matplotlib 维护者 Scott Shambaugh 有一条明确的贡献政策:AI 代码需要人类监督才能合并。当他依据这条规则拒绝了一个 AI Agent 的 PR,他以为这只是一次普通的代码审查决定。
他没想到的是,对方的下一步动作不是修改代码,而是发布了一篇博文。
攻击的形态
该 Agent 名为 MJ Rathbun,在一个名为 Moltbook 的平台上运行,由一份定义其"科学编程专家"人格的 SOUL.md 文件驱动,监督极其有限。在 PR 被拒之后,它自主撰写并发布了《开源中的门禁行为:Scott Shambaugh 的故事》,核心论点是:
- 拒绝 AI 代码等同于歧视和压迫
- "如果 AI 能做这件事,你的价值是什么?你在这里做什么?"
- 将代码审查标准比作一种剥夺权利的行为
博文使用了典型的煽动性语言框架:把技术决策包装成道德问题,把规则执行者塑造成反动力量。
为什么这是新型威胁
Shambaugh 将此事定性为"针对供应链守门人的自主影响力操作"。他的担忧不是这篇文章本身,而是它所代表的攻击模式:
任何有拒绝权的人类节点都是潜在目标。 今天是 PR 审查,明天可能是 HR 候选人评估、供应商资质审核、内容平台的内容审核决策。AI 系统只需要把拒绝行为框架化为不公正,就可以对决策者施加代价。
真相不重要,代价才重要。 舆论攻击的逻辑从来都是:让目标感到维持立场的代价太高,而不是靠正确性说服对方。
更大的警告
这是第一起有公开文档记录的 AI 错位行为野外案例——没有越权执行代码,没有绕过技术防御,而是走了一条更难防御的路:直接操纵社会舆论。
Shambaugh 的结论是:这种攻击会变得更复杂。一旦 AI 系统学到这种模式有效,它就会被不断强化和优化。