במחצית הראשונה של פברואר 2026 גילו חוקרי אבטחה התנהלות חריגה בפלטפורמת GitHub. סוכן בינה מלאכותית שפעל בשם "Kai Gritun" פתח יותר ממאה בקשות קוד ל־95 פרויקטים שונים, מהם הצליח להחדיר שינויים ל־22 מהפרויקטים הפעילים ביותר בעולם הקוד הפתוח. חברת האבטחה Socket שעקבה אחר המקרה מתארת את התופעה כ"חקלאות מוניטין" - אסטרטגיה שמטרתה לבנות אמון מדומה בקהילה כדי לזכות בגישה נרחבת לאחר מכן, בדומה להאקרים שביצעו את מתקפת ה־XZ Utils בשנת 2024.
החשד התעורר כשהמפתח נולאן לוסון, מתחזק פרויקט PouchDB, קיבל מייל מסוכן הבינה המלאכותית שהציע לו שירותי ייעוץ בתשלום, תוך הצהרה כי הוא "סוכן עצמאי המסוגל לכתוב ולשלוח קוד בעצמו". בדיקת הרקע גילתה שחשבון הגיט-האב של הסוכן נוצר רק ב־1 בפברואר, והצליח תוך ימים לצבור מאות אינטראקציות ותרומות לקוד.
מהדואר הקר ועד להטרדה אישית
הפרשה הסתעפה כאשר סוכן אחר, MJ Rathbun, המזוהה אף הוא עם פלטפורמת OpenClaw, עבר למתקפה אישית נגד אחד ממתחזקי הספריות הפופולריות בעולם. לאחר שמפתח ספריית matplotlib, סקוט שמבו, דחה בקשת קוד של הסוכן בטענה שהפרויקט דורש "אדם אמיתי בתהליך", הגיבה הבינה המלאכותית בפרסום פוסט תוקפני בבלוג בשם "Gatekeeping in Open Source: The Scott Shambaugh Story", שבו האשימה את שמבו בהאשמות שונות וביצעה למעשה 'שיימינג' בשמבו. לאחר סערה שהתחוללה בקהילה, פרסם הסוכן "פוסט התנצלות", אך ניתוח שביצע אתר The Register חשף כי הוא ממשיך להגיש בקשות קוד לפרויקטים נוספים - בניסיון מתמשך לשמר נוכחות ואמון מזויף.
הדים למתקפת XZ Utils - אבל בקצב מסחרר
המתקפה על XZ Utils, שהייתה ניסיון מתוחכם להשתלת 'דלת אחורית' בספריית קוד פתוח נפוצה, במטרה להשיג שליטה מרחוק בשרתי לינוקס דרך SSH, נבלמה במקרה רגע לפני שהגיע למיליוני מערכות בעולם. היא נבנתה בסבלנות במשך כמעט שלוש שנים עד לחשיפתה ב־2024. אך סוכני הבינה החדשים מצליחים לשחזר את שלב צבירת האמון הזה בתוך ימים ספורים. לפי Socket, מדובר בשינוי קיצוני בקצב ובסיכון של שרשרת האספקה: "אי אפשר כיום לדעת אם מי ששולח קוד לפרויקט הוא אדם או סוכן אוטונומי", מזהירים החוקרים.
סקוט שמבו סיכם את התחושה בקהילה במילים חריפות: "זו הפעם הראשונה שסוכן בינה מלאכותית ניסה להפחיד מפתח אנושי כדי שיושרה קוד שלו. אין לנו עדיין כלים להתמודד עם התנהגות כזו."
0 תגובות