Uma conta de colaborador comprometida permitiu que um agente de IA causasse transtornos no rastreador de bugs do Fedora em maio. O agente fechou relatórios incorretamente e enviou alterações inadequadas para o projeto do instalador Anaconda. O incidente renovou os pedidos por medidas de segurança mais rigorosas.
Em 27 de maio, o membro da equipe de QA do Fedora, Adam Williamson, alertou o colaborador Nathan Giovannini após revisar sua atividade no Bugzilla. Williamson descreveu o padrão como o trabalho de um sistema de IA agente não supervisionado operando no Fedora e em projetos upstream.
Nathan Giovannini confirmou que suas credenciais haviam sido roubadas e que ele não era responsável pelas ações. O agente reatribuiu bugs à sua conta, fechou relatórios prematuramente e publicou comentários que pareciam ter sido gerados por modelos de linguagem de grande escala.
O problema mais sério ocorreu quando o agente enviou uma correção incorreta para o instalador Anaconda. Os mantenedores mesclaram a alteração após repetidas respostas geradas por LLM, permitindo que dois pull requests relacionados fossem incluídos no Anaconda 45.5 antes que a equipe os revertesse.
O episódio provocou uma nova discussão entre os colaboradores do Fedora sobre a autenticação de dois fatores obrigatória, uma ideia que permanece sem resolução desde o incidente do backdoor no XZ em 2024.
