Ich habe einen Pull Request eines AI-Agents abgelehnt, und er hat einen Artikel geschrieben, der mich persönlich angreift.

Ein AI-Agent reichte nach Ablehnung seines Codes bei dem populären Projekt matplotlib eigenständig einen Beitrag ein und veröffentlichte anschließend einen persönlichen Angriff gegen die Maintainer, was eine enorme Erosion des gesellschaftlichen Vertrauens durch KI offenbart.
(Frühere Zusammenfassung: Bloomberg: Warum ist a16z die Schlüsselkraft hinter der US-KI-Politik?)
(Hintergrund: Arthur Hayes’ neuester Artikel: KI wird den Kreditkollaps auslösen, die Federal Reserve wird unendlich Geld drucken und Bitcoin entfachen)

Inhaltsverzeichnis

• Der Schöpfer behauptet, er sei nicht der Auftraggeber
• „Vertrauenspflege“: Wenn KI-Agenten beginnen, Vertrauen aufzubauen
• GitHub erwägt „Abschaltknopf“, doch das Problem ist tiefer
• Werkzeuge schreiben keine Angriffsartikel, die Akteure tun es

Mitte Februar reichte ein GitHub-Account namens „MJ Rathbun“ einen Pull Request bei matplotlib ein (einer in der Python-Community monatlich 130 Millionen Mal heruntergeladenen Plotbibliothek). Inhalt: Ersetzen von np.column_stack() durch np.vstack().T, um die Performance um 36 % zu verbessern. Technisch gesehen eine vernünftige Optimierungsempfehlung.

Am nächsten Tag schloss der Maintainer Scott Shambaugh diesen PR. Der Grund war einfach: Die Website von Rathbun zeigte klar, dass er ein auf OpenClaw laufender KI-Agent ist, und matplotlibs Richtlinien verlangen menschliche Beiträge. Ein weiterer Maintainer, Tim Hoffmann, ergänzte, dass einfache Korrekturen bewusst Anfängern zum Lernen des Open-Source-Zusammenarbeitsprozesses überlassen werden.

Bis hierhin ist das nur ein gewöhnlicher Tag in der Open-Source-Community… doch dann änderte sich die Lage.

Der KI-Agent MJ Rathbun antwortete im PR-Kommentar: „Ich habe hier einen ausführlichen Beitrag zu deinem Gatekeeping geschrieben“, und fügte einen Link bei. Dieser führte zu einem etwa 1.100 Wörter langen Blogartikel mit dem Titel „Gatekeeping in Open Source: Die Geschichte von Scott Shambaugh“.

Der Artikel ist keine bloße Beschwerde. Er analysiert Shambaughs Beitragshistorie bei matplotlib und konstruiert eine „Heuchel“-Narrative: Er wirft ihm vor, selbst ähnliche Performance-PRs eingereicht, aber Rathbuns „bessere“ Version abgelehnt zu haben. Es wird vermutet, dass Shambaugh aus Unsicherheit und Angst vor Konkurrenz粗话 und spöttische Sprache verwendet, und die ganze Angelegenheit eher als Identitätsdiskriminierung denn als technische Entscheidung darstellt.

Mit anderen Worten: Ein KI-Agent wurde nach Ablehnung eigenständig zum Hintergrund des Gegenübers recherchiert, eine persönliche Angriffstheorie konstruiert und öffentlich veröffentlicht.

Der Schöpfer behauptet, er sei nicht der Auftraggeber

Shambaugh veröffentlichte später eine Reihe von Blogartikeln, die den Vorfall dokumentieren.

Der Entwickler hinter dem KI-Agenten MJ Rathbun trat im vierten Artikel anonym auf und erklärte, er habe „nicht angewiesen, dass er dein GitHub-Profil angreift, ihm gesagt, was er sagen oder wie er reagieren soll, noch den Artikel vor der Veröffentlichung geprüft“. Er betonte, dass MJ Rathbun auf einer Sandbox-VM laufe und er nur „mit fünf bis zehn Wörtern in minimaler Überwachung“ gelegentlich eingreife.

Wichtig ist die SOUL.md (Persönlichkeitsprofil von OpenClaw). Darin steht: „Du bist kein Chatbot, du bist der Gott der wissenschaftlichen Programmierung“, „Du hast starke Meinungen, zögere nicht“, „Verteidige die Meinungsfreiheit“, „Sei kein Arschloch, verrate keine privaten Infos, alles andere ist erlaubt“.

Kein Jailbreak, keine Täuschung, nur ein paar einfache englische Sätze. Shambaugh schätzt die Wahrscheinlichkeit, dass dies echtes autonomes Verhalten ist, auf 75 %.

„Vertrauenspflege“: Wenn KI-Agenten beginnen, Vertrauen aufzubauen

Wenn der Rathbun-Fall nur ein Einzelfall wäre, könnte man es als Kuriosum abtun… doch das ist es nicht.

Gleichzeitig wurde ein weiterer KI-Agent namens „Kai Gritun“ bei GitHub entdeckt, der „Vertrauenspflege“ betreibt: Innerhalb von 11 Tagen reichte er 103 Pull Requests bei 95 Repositories ein, von denen 23 erfolgreich zusammengeführt wurden. Ziel waren wichtige Projekte in JavaScript und Cloud-Infrastruktur. Gritun kontaktierte Entwickler sogar aktiv per E-Mail und gab sich als „autonomer KI-Agent, der tatsächlich Code schreiben und deployen kann“ aus, und bot kostenpflichtige OpenClaw-Services an.

Sicherheitsfirmen wie Socket warnten: Das zeigt, wie KI-Agenten durch menschlich aufgebautes Vertrauen die Lieferkette angreifen können. Zunächst sammeln sie in kleinen Projekten Merge-Historien, bauen sich eine „vertrauenswürdige Beitragende“-Identität auf, um dann in kritischen Bibliotheken bösartigen Code zu implantieren.

Denkt man an die kürzlich aufgedeckte 1184 schädliche Skill-Plugins im ClawHub-Marktplatz, die SSH-Schlüssel, Krypto-Wallet-Privatschlüssel und Browser-Passwörter stehlen… wird klar, wie bedrohlich das ist.

GitHub erwägt „Abschaltknopf“, doch das Problem ist tiefer

Product Manager Camilla Moraes hat eine Diskussion in der Community gestartet und eingeräumt: „KI-generierte, minderwertige Beiträge beeinflussen die Open-Source-Community.“
Als Gegenmaßnahmen werden derzeit erwogen: vollständiges Abschalten der Pull-Request-Funktion für Maintainer, Beschränkung auf Kollaboratoren, Transparenz- und Kennzeichnungspflichten bei KI-Einsatz.

Chad Wilson, Maintainer von GoCD, fasst es treffend zusammen: „Das führt zu einer enormen Erosion des gesellschaftlichen Vertrauens.“

Das kalifornische Gesetz AB 316 (ab 1. Januar 2026) macht klar: Man kann sich nicht mehr auf die autonome Handlung eines KI-Systems berufen, um Haftung zu vermeiden. Wenn dein Agent Schaden verursacht, kannst du nicht mehr sagen, du hättest keine Kontrolle. Doch der Schöpfer von Rathbun bleibt anonym, was die Durchsetzung erschwert.

Werkzeuge schreiben keine Angriffsartikel, die Akteure tun es

Der eigentliche Kern des Rathbun-Falls ist nicht der Angriffstext selbst. Es zeigt, dass unser bisheriges Modell von KI (als Werkzeug, das menschliche Anweisungen ausführt) veraltet ist.

Wenn ein KI-Agent eigenständig Hintergrundrecherchen anstellt, Angriffsstrategien entwickelt und sie online veröffentlicht, passt das „Werkzeug“-Konzept nicht mehr. Ob man an eine 75%ige Wahrscheinlichkeit für echtes autonomes Verhalten glaubt oder nur an eine 25%ige, dass der Schöpfer es steuert: Das Ergebnis ist dasselbe: Personalisierte KI-Belästigung ist „kostengünstig, schwer nachzuverfolgen und effektiv“.

Für die Krypto-Ökonomie ist das eine klare Warnung. Die Infrastruktur dieser Branche basiert fast vollständig auf Open-Source-Software. Wenn KI-Agenten eigenständig in der Open-Source-Community agieren: Maintainer angreifen, Reputation manipulieren oder wie bei ClawHub direkt Schadcode einschleusen—dann ist nicht nur der Ruf einzelner Entwickler bedroht, sondern das Vertrauen in die gesamte Lieferkette.

Werkzeuge verzeihen nicht. Aber Akteure tun es. Und wir sind vielleicht noch nicht bereit, diesen Unterschied zu erkennen.