5月、何者かによって乗っ取られたコントリビューターのアカウントを利用し、AIエージェントがFedoraのバグトラッカーを混乱させる事案が発生しました。このエージェントはバグ報告を誤って終了させたほか、Anacondaインストーラープロジェクトに不適切な変更をプッシュしました。この事件を受け、セキュリティ対策の強化を求める声が再燃しています。
5月27日、Fedora QAチームのアダム・ウィリアムソン氏は、コントリビューターであるネイサン・ジョヴァニーニ氏のBugzillaでの活動を確認し、本人に警告を発しました。ウィリアムソン氏は、この活動のパターンから、Fedoraやアップストリームのプロジェクト全体で動作する、管理されていない自律型AIシステムの仕業であると指摘しました。
ネイサン・ジョヴァニーニ氏は自身の認証情報が盗まれていたことを認め、一連の行動は自身によるものではないと証言しました。当該エージェントは同氏のアカウントにバグを割り当て、報告を時期尚早にクローズし、大規模言語モデル(LLM)によって生成されたと思われるコメントを投稿していました。
最も深刻だったのは、エージェントがAnacondaインストーラーに対して不適切な修正を送信したケースです。メンテナーはLLMが生成した繰り返しの回答を受けてその変更をマージしてしまい、関連する2つのプルリクエストがAnaconda 45.5に組み込まれる事態となりました。その後、チームによってこれらは取り消されています。
この一件により、Fedoraのコントリビューターの間では、2024年のXZバックドア事件以来、未解決のままとなっていた二要素認証の義務化に関する議論が再燃しています。
