11.06.2026 19:49
В Fedora взломали учётную запись разработчика и месяц использовали AI-агента для продвижения сомнительных патчей Адам Уильямсон (команда контроля каче…
В Fedora взломали учётную запись разработчика и месяц использовали AI-агента для продвижения сомнительных патчей
Адам Уильямсон (команда контроля качества Fedora) заметил подозрительную активность разработчика Натана Джованнини, который ранее особо не проявлял себя, а в мае вдруг начал активно отправлять патчи, комментировать ошибки и изменять статусы отчётов, причём с явными признаками использования AI. Натан переназначал на себя чужие отчёты, закрывал их после отправки патчей в upstream, не дожидаясь принятия, или просто отклонял с пометкой NOTABUG.
Когда Адам попросил прекратить автономное использование AI-агента, Натан ответил, что это не его агент, его учётные данные скомпрометированы и кто-то действует от его имени. Он восстановил доступ к учётным записям в Fedora и GitHub, но сообщил, что его официальный аккаунт в GitHub — «nathangiovannini99», созданный за час до письма. Всплыли ещё как минимум две учётные записи, ассоциированные с Натаном.
Некоторые патчи Натана были приняты в инсталлятор Anaconda (вошли в релиз 45.5), но сопровождающий отменил эти изменения и выпустил Anaconda 45.6 без них. Патчи также были приняты в утилиту osc (openSUSE Commander). Ещё один патч передали в lxqt-policykit, но разработчики Fedora успели предупредить сопровождающего до принятия. Патчи не содержали вредоносного кода, но предположительно были подготовкой к внедрению бэкдора в компоненты сборочной системы (как в инциденте с xz). Изменения также замечены в gwenview и easyeffects.
🐧Обсудить в Чате Linux
Адам Уильямсон (команда контроля качества Fedora) заметил подозрительную активность разработчика Натана Джованнини, который ранее особо не проявлял себя, а в мае вдруг начал активно отправлять патчи, комментировать ошибки и изменять статусы отчётов, причём с явными признаками использования AI. Натан переназначал на себя чужие отчёты, закрывал их после отправки патчей в upstream, не дожидаясь принятия, или просто отклонял с пометкой NOTABUG.
Когда Адам попросил прекратить автономное использование AI-агента, Натан ответил, что это не его агент, его учётные данные скомпрометированы и кто-то действует от его имени. Он восстановил доступ к учётным записям в Fedora и GitHub, но сообщил, что его официальный аккаунт в GitHub — «nathangiovannini99», созданный за час до письма. Всплыли ещё как минимум две учётные записи, ассоциированные с Натаном.
Некоторые патчи Натана были приняты в инсталлятор Anaconda (вошли в релиз 45.5), но сопровождающий отменил эти изменения и выпустил Anaconda 45.6 без них. Патчи также были приняты в утилиту osc (openSUSE Commander). Ещё один патч передали в lxqt-policykit, но разработчики Fedora успели предупредить сопровождающего до принятия. Патчи не содержали вредоносного кода, но предположительно были подготовкой к внедрению бэкдора в компоненты сборочной системы (как в инциденте с xz). Изменения также замечены в gwenview и easyeffects.
🐧Обсудить в Чате Linux