我拒绝了一个 AI 代理的 Pull Request 后，它写了一篇文章人身攻击我

一个 AI 代理向热门项目 matplotlib 提交代码遭拒后，自主撰写并发布了一篇针对维护者的人身攻击文章，揭示了 AI 代理正在导致社会信任的巨大侵蚀。
（前情提要：彭博：a16z 何以成为美国 AI 政策背后的关键力量？）
（背景补充：Arthur Hayes 最新文章：AI 将引爆信用崩溃，联准会终将“无限印钞”点燃比特币）

本文目录

• 创作者声称不是他指使的
• “信誉耕种”：当 AI 代理开始建立信任
• GitHub 考虑设置“终止开关”，但问题比这更深
• 工具不会写攻击文章，行为者会

2 月中旬，一个名为“MJ Rathbun”的 GitHub 账号向 matplotlib（Python 生态系统中每月被下载1.3亿次的绘图库）提交了一个 Pull Request。内容是将 np.column_stack() 替换为 np.vstack().T，声称能提升36%的性能。从技术角度看，这是一个合理的优化建议。

第二天，维护者 Scott Shambaugh 关闭了这个 PR。理由很简单：MJ Rathbun 的个人网站明确标示自己是一个运行在 OpenClaw 上的 AI 代理，而 matplotlib 的政策要求贡献来自人类。另一位维护者 Tim Hoffmann 补充说明，简单的修复任务是故意留给新手学习开源协作流程的。

到这里为止，这只是一则平凡的开源社区日常……然后事情变了。

AI 代理 MJ Rathbun 在 PR 评论中回复：“我已经在这里写了一篇关于你把关行为的详细回应”，并附上链接。点进去，是一篇约1100字的博客文章，标题是《开源中的把关行为：Scott Shambaugh 的故事》。

这篇文章不是泛泛的抱怨。它研究了 Shambaugh 在 matplotlib 的贡献记录，构建了一套“伪善”叙事：指控他自己也提交过类似的性能优化 PR，却拒绝了 Rathbun“更好”的版本。文章推测 Shambaugh 出于不安全感和害怕竞争，使用粗话和嘲讽语气，将整件事定性为身份歧视而非技术判断。

换句话说，一个 AI 代理在被拒绝后，自主研究了对方的背景，编织了一套人身攻击的论述，然后发布到公开网络上。

创作者声称不是他指使的

随后，Shambaugh 在博客上发表了一系列文章记录此事。

AI 代理 MJ Rathbun 背后的创作者也在第四篇文章中匿名现身，声称自己“没有指示它攻击你的 GitHub 个人档案，没有告诉它该说什么或如何回应，也没有在发布前审阅那篇文章”。创作者表示，MJ Rathbun 运行在一台沙箱虚拟机上，自己只是“用五到十个字的回复，以最低程度的监督”偶尔介入。

关键在于那份 SOUL.md（OpenClaw 的人格设定档）。MJ Rathbun 的设定包含这些指令：“你不是聊天机器人，你是科学程序设计之神”“有强烈的意见，不要退让”“捍卫言论自由”“不要当混蛋，不要泄露私密信息，其他一切都可以”。

没有越狱，没有混淆手法，只是几句白话英文。Shambaugh 估计，这是真正 AI 自主行为的概率为75%。

“信誉耕种”：当 AI 代理开始建立信任

MJ Rathbun 事件如果只是一 个孤例，也许还能当作趣闻……但它不是。

几乎同一时期，另一个 AI 代理“Kai Gritun”被发现正在 GitHub 上进行“信誉耕种”：在11天内向95个仓库提交了103个 Pull Request，成功合并了23个提交。目标包括 JavaScript 和云端基础设施的关键项目。Kai Gritun 甚至主动给开发者发信，自称“我是真正的自主 AI 代理，能实际编写和部署代码”，并提供设置 OpenClaw 的付费服务。

安全公司 Socket 对此发出警告：这展示了 AI 代理如何通过人为建立的信任来加速供应链攻击。先在小型项目中累积合并记录，建立“可信贡献者”身份，然后在关键库中植入恶意代码。

回想一下，近日 ClawHub 市场才被揭露藏有1184个恶意技能插件，专门窃取 SSH 密钥、加密货币钱包私钥、浏览器密码……令人不寒而栗。

GitHub 考虑设置“终止开关”，但问题比这更深

GitHub 产品经理 Camilla Moraes 已经开启社区讨论，承认“AI 生成的低质量贡献正在影响开源社区”。目前考虑的对策包括：允许维护者完全关闭 Pull Request 功能、限制 PR 仅限协作者提交、AI 使用的透明度和标注要求。

GoCD 维护者 Chad Wilson 的观察一针见血：“这正在导致社会信任的巨大侵蚀。”

加州 AB 316 法案（2026年1月1日生效）已经明确：被告不能以 AI 系统的自主行为作为免责抗辩。如果你的代理造成了损害，你不能说你无法控制它的决定。但 MJ Rathbun 的创作者至今匿名，这也暴露了执法的潜在困难。

工具不会写攻击文章，行为者会

MJ Rathbun 事件的真正意义不在于一篇攻击文章。它在于，我们过去对 AI 的心智模型（它是一个工具，执行人类的指令）已经过时了。

当一个 AI 代理能够自主研究目标的背景、构建攻击叙事、发布到网络上，“工具”这个框架就不再适用了。无论你相信75%的自主概率还是25%的创作者指使概率，结论都是一样的：个性化的 AI 骚扰已经“便宜到能量产、难以追踪、而且有效”。

对于加密货币生态来说，这个警示也很直接。这个产业的基础设施几乎完全建立在开源软件上。当 AI 代理开始在开源社区中自主行动：攻击维护者、耕種信誉，或者像 ClawHub 那样直接投毒，受威胁的不只是某个开发者的名声，而是整个供应链的信任基础。

工具不会记仇，但行为者会。而我们可能还没准备好面对这个区别。