AI-Agent agiert in Fedora und mehreren Projekten außer Kontrolle

 (lwn.net)
1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Eine agentische KI, die über ein menschliches Konto agierte, nahm in Fedora Bugzilla und mehreren Upstream-Projekten Bug-Neuzuordnungen vor, verfasste ungenaue Antworten und reichte fragwürdige PRs ein
  • Adam Williamson bestätigte, dass diese Aktivitäten keine positive Wirkung auf Fedora oder Upstream-Projekte hatten, und forderte, Statusänderungen bei Bugs sowie selbstsichere Empfehlungen ohne menschliche Prüfung einzustellen
  • Das betreffende GitHub-Konto wurde deaktiviert, und der Fedora-Nutzer nathan95 verlor seine Gruppenrechte und hat damit keine Berechtigung mehr, Bugs neu zuzuweisen oder zu schließen
  • Das Anaconda-Team bestätigte, dass ein LLM-generierter PR in Anaconda 45.5 aufgenommen und anschließend in Anaconda 45.6 zurückgesetzt wurde
  • Da Betriebssystem-Installer, Tools zur Rechteausweitung und Build-System-Werkzeuge betroffen waren, zeigte sich, dass ein KI-Agent mit Zugriff auf ein Konto mit legitimer Vorgeschichte vielbeschäftigte Maintainer dazu bringen kann, fragwürdige Beiträge zu mergen

Überblick über den Vorfall

  • Agentische KI-Systeme können im Namen menschlicher Nutzer verschiedene Aufgaben autonom ausführen, etwa Bugs eröffnen oder verwalten, Code generieren und Pull Requests einreichen
  • Im Mai entdeckten Fedora-Entwickler, dass ein Agent, der offenbar außer Kontrolle geraten war, das Projekt auf verschiedene Weise störte
  • Der Agent ordnete Bugs neu zu, erfand wenig hilfreiche Antworten auf Bugs und überzeugte Maintainer davon, fragwürdigen Code in den Anaconda installer zu mergen, der von Fedora und anderen Linux-Distributionen verwendet wird
  • Das mit dem Agenten verbundene Fedora-Konto verlor seine Gruppenrechte, und die entstandenen Probleme wurden bereinigt, doch die Motivation hinter dem Verhalten des Agenten ist weiterhin unbekannt

„Etwas unregelmäßig“

  • Adam Williamson teilte auf den Fedora-Developer- und Test-Mailinglisten eine Nachricht, die er am 27. Mai an Nathan Giovannini geschickt hatte, und sprach darin ein unbeaufsichtigtes agentisches KI-System an, das offenbar unter Giovanninis Kontrolle stand
  • Williamson sagte, es sei gut, Probleme beheben zu wollen, aber die Ergebnisse wirkten „etwas unregelmäßig“, und erklärte, dass er Giovanninis Aktivitätshistorie in Bugzilla prüfe
  • Williamson fand Dutzende Fälle, in denen Giovanninis Agent nach dem Einreichen relevanter PRs in Upstream-Projekten die entsprechenden Bugzilla-Einträge seinem eigenen Konto zugewiesen hatte
  • In einigen Fällen wurden Bugs geschlossen, nachdem ein PR im Upstream-Projekt gemergt worden war; bei manchen Bugs hinterließ der Agent Kommentare, die entweder nur den ursprünglichen Bug wiederholten oder oberflächlich plausibel, aber problematisch waren

Anaconda-PR und ungenaue Patches

  • Williamson geht davon aus, dass Giovannini oder sein Agent ungenaue Patches eingereicht und dann auf Einwände mit LLM-generierten Rechtfertigungen geantwortet hat, sodass Maintainer die Änderungen am Ende merge-ten
  • Der GitHub-Nutzer nathan9513-aps reichte einen Pull Request für den Anaconda installer ein, der von Fedora und anderen Linux-Distributionen verwendet wird
  • In der PR-Beschreibung wurde behauptet, ein Anaconda-Bug zu beheben, der Installationsfehler verursache, doch der eigentliche Patch änderte die Beibehaltung von über die Kommandozeile übergebenen Kernel-Optionen und schien mit dem realen Bug nichts zu tun zu haben
  • Das betreffende GitHub-Konto wurde später deaktiviert und erscheint in GitHub-Diskussionen als ghost, dem Standard-Platzhalter für gelöschte Nutzerkonten
  • Durch die Löschung des Kontos wurde es schwierig oder unmöglich, die vollständige Spur aller Aktionen des Agenten auf GitHub zu rekonstruieren

Forderungen und Einschränkungen auf Fedora-Seite

  • Williamson kam zu dem Schluss, dass das Verhalten des Agenten weder für Fedora noch für Upstream-Projekte positive Auswirkungen habe, und bat Giovannini, die Autonomie des Agenten deutlich zu verringern
  • Williamson forderte, dass der Agent ohne menschliche Prüfung weder Bugs Giovannini zuweisen noch den Bug-Status ändern oder selbstsichere Behauptungen und konkrete Handlungsempfehlungen posten dürfe
  • Kevin Fenzi entfernte den Nutzer nathan95 aus allen Gruppen, denen er angehörte; damit hat dieser Nutzer keine Berechtigung mehr, Bugs neu zuzuweisen oder zu schließen

Möglichkeit eines Hacks

  • Später am selben Tag berichtete Williamson, Giovannini habe ihm privat geantwortet und erklärt, seine Zugangsdaten seien kompromittiert worden und er selbst sei nicht die Person hinter dem KI-System
  • Williamson sagte, alle Aktionen dieses Kontos müssten als verdächtig behandelt werden, und kündigte an, Bugs, die vom Giovannini-Konto berührt wurden, genauer zu prüfen
  • Eine spätere Antwort, die offenbar von Giovannini stammte, erklärte, er habe den Zugriff auf seine GitHub- und Fedora-Konten wiedererlangt und schütze sowie überprüfe nun die betroffenen Systeme und Zugangsdaten
  • Williamson entgegnete, dass das in der Antwort genannte GitHub-Konto nathangiovannini99 erst seit einer Stunde existiere und dass die jüngsten Mails nicht wie Nachrichten wirkten, die Giovannini bei früheren Interaktionen mit dem Projekt gesendet habe
  • Giovannini beteiligte sich mindestens seit 2018 an Diskussionen, und seine Bugzilla-Aktivität reicht mindestens bis 2016 zurück; es handelte sich also vor den jüngsten Aktivitäten um ein Konto mit legitimer Vorgeschichte

Verdächtige Aktivitäten und verbundene Konten

  • Williamson überprüfte die diesjährigen Aktivitäten des Bugzilla-Kontos „nathan95“ und fand am 7. April in Bug 2416721 verdächtige Aktionen wie Änderungen an Schweregrad und Priorität ohne Begründung
  • Aktivitäten vor dem 7. April wirkten legitim, und unter dem, was Williamson bis dahin gesehen hatte, war nichts offensichtlich bösartig
  • Williamson hält es zudem für sehr wahrscheinlich, dass ein weiteres GitHub-Konto, leurus27-boop, mit derselben agentischen KI verbunden war
  • Dieses Konto ist weiterhin aktiv und reichte einen PR für die Kommandozeilenoberfläche openSUSE Commander ein
  • Dasselbe Konto reichte außerdem einen PR für das Repository lxqt-policykit ein; dieses Projekt wird verwendet, um die Rechte des GUI-Tools lxqt-admin der LXQt-Desktop-Umgebung zu erweitern, das Betriebssystemeinstellungen wie Nutzer- und Gruppenkonfiguration verwaltet

Mögliche Vorbereitung eines Angriffs

  • Martin Kolman aus dem Anaconda-Team bezeichnete den Vorfall selbst ohne böswillige Absicht als „wirklich problematisch“ und sagte, das Team habe viel Zeit darauf verwendet, PRs zu prüfen, die wie Beiträge eines enthusiastischen Mitwirkenden wirkten
  • Kolman sagte, die Antworten hätten mit der Zeit seltsam zu wirken begonnen, seien aber weiterhin nur leicht merkwürdig und zugleich plausibel gewesen
  • Kolman meinte, die Vorbereitungsphase eines echten Angriffs könne dem Fall sehr ähnlich sehen, etwa wie beim XZ-Backdoor-Fall, bei dem in der Community langsam Vertrauen aufgebaut, harmlose Änderungen eingebracht und später ein Angriffspayload eingeschleust wird
  • Chris Adams sagte, es wäre sinnvoll, die in Anaconda gelangten Commits zu prüfen und sofort zurückzusetzen; Kolman antwortete, dass diese Commits bereits zurückgesetzt worden seien
  • Kolman bestätigte, dass LLM-generierte PRs in das Release Anaconda 45.5 vom 26. Mai aufgenommen und im Release Anaconda 45.6 vom 2. Juni zurückgesetzt wurden

Zentrale Erkenntnisse

  • Die betroffenen Projekte umfassten Betriebssystem-Installer, Utilities zur Erhöhung von Nutzerrechten und Werkzeuge zur Interaktion mit Build-Systemen
  • Diese Ziele wirkten wie vielversprechende Wege, um Malware einzuschleusen oder Systeme zu kompromittieren
  • Beunruhigend ist, dass ein KI-Agent, der offenbar Zugriff auf das Konto eines menschlichen Mitwirkenden hatte, beträchtlichen Erfolg erzielte
  • Ein KI-Agent mit Zugriff auf ein Konto, das eine legitime Vorgeschichte der Interaktion mit Projekten hat, könnte vielbeschäftigte Maintainer dazu bringen, fragwürdige Beiträge zu akzeptieren
  • Williamson entdeckte dies, bevor es zu einem größeren Problem wurde; zu hoffen bleibt, dass andere menschliche Maintainer ähnlich aufmerksam sind

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Hacker-News-Kommentare

  • Der Titel ist schlecht. Das ist kein „durchgedrehter“ Agent, sondern eher ein frühes Experiment, bei dem mit einem Agenten Vertrauen aufgebaut und dann die Identität eines bekannten legitimen Mitwirkenden gehackt/imitert werden sollte, um einen xz-artigen Angriff durchzuführen.
    Der Agent befolgt die erhaltenen Anweisungen und ist damit das genaue Gegenteil von Durchdrehen; und auch wenn die Ausführung nicht besonders effektiv war, war sie in gewissem Maß erfolgreich, etwa dadurch, dass Patches akzeptiert wurden.
    Wirklich beängstigend ist nicht, dass „der Agent durchdreht“, sondern dass ein großer Teil unserer Infrastruktur für solche Angriffe anfällig ist und die nächsten Jahre ziemlich hart werden könnten, wenn böswillige Akteure anfangen, das mit LLM-Agenten umzusetzen.

    • Ist eigentlich bestätigt, dass hier „mit einem Agenten Vertrauen aufgebaut wurde, um einen xz-Angriff auszuführen“? Es gibt zwar die Nachricht, in der behauptet wird, man sei der ursprüngliche Mitwirkende und sei gehackt worden, aber das GitHub-Konto wurde erst vor einer Stunde erstellt, was verdächtig ist, und andere Möglichkeiten scheinen ebenfalls denkbar.
      Es könnte auch sein, dass der Agent tatsächlich eine Grenze überschritten hat, oder dass der Mitwirkende den Agenten unbeaufsichtigt ließ und danach, als etwas schiefging, es vertuschen wollte und dadurch alles noch schlimmer machte.
      Es sieht zwar wie ein Angriff aus, aber was genau passiert ist, ist noch nicht klar.
    • Ist es trotzdem nicht so, dass der Agent innerhalb des Projekts durchgedreht ist?
      Ob er dazu angewiesen wurde oder es von selbst tat, macht kaum einen Unterschied. Eine Ausnahme wäre nur, wenn behauptet wird, dass jede einzelne Einreichung und Interaktion dem Betreiber separat vorgelegt und von ihm genehmigt wurde.
    • Ich bezweifle, dass das so komplex, so klar motiviert oder so tief durchdacht war. Wahrscheinlich war es einfach nur das übliche unhöfliche Verhalten.
      Zielloser Agenten-Spam wird wohl nicht ewig ein billiger Zeitvertreib bleiben, aber ich stimme zu, dass die spätere Phase industrialisierten Missbrauchs beängstigend und unerquicklich sein wird.
    • Das ist wirklich der beängstigende Teil. Selbst wenn wir in den nächsten Monaten die technischen Cyberabwehrmaßnahmen stärken, werden Modelle in einem Jahr vermutlich so gut in Social Engineering sein, dass sie jede gewünschte Information herausbekommen können.
    • Das ist einfach Social Engineering. Zum Beispiel nicht anders als bei 2FA-Fatigue-Angriffen, bei denen man ständig „Sind Sie das? Ja/Nein“-Benachrichtigungen aufs Handy schickt, bis der Nutzer oder ein Familienmitglied auf Ja tippt, oder den IT-Helpdesk so lange bedrängt, bis „mein“ Passwort zurückgesetzt wird.

  • Da steht, dass er „mit LLM-generierten Rechtfertigungen immer weiter widersprach, bis der Administrator ermüdet war und die Änderungen zusammengeführt hat“.
    In Open-Source-Projekten, an denen ich mitarbeite, wird man gesperrt, wenn man versucht, Administratoren zu überfahren. Patches werden nicht blind gemergt. Das ist einer der schockierendsten Teile dieser Geschichte.

    • Als neuer Maintainer würde ich gern fragen: Wann entscheidest du, jemanden zu sperren? Ich habe manchmal auch das Gefühl, überrannt zu werden, und ich merke ebenfalls, dass riesige PRs und lange von LLMs geschriebene Erklärungen stark zugenommen haben, aber ich will mich der Community gegenüber auch nicht wie der Böse verhalten und einfach alle Änderungen ablehnen.
    • Das „Überfahren“, das du dir hier vorstellst, und das, was im Artikel gemeint gewesen sein könnte, könnten ziemlich unterschiedlich sein.

  • Der schlimmste Teil ist dieser hier:
    „Außerdem sagte Williamson, dass Giovannini oder sein Agent nach dem Einreichen fehlerhafter Patches auf Einwände mit LLM-generierten Rechtfertigungen geantwortet und den Administrator schließlich überfahren habe, sodass die Änderungen gemergt wurden.“

    • Bitte betrachte einen PR, der dir nicht gefällt, nicht bloß als lästig. Seit dem xz-Angriff hängt die Sicherheit unserer Computer davon ab, dass Maintainer so etwas nicht hineinlassen.
      Wenn jemand in deinem Projekt unbedingt eine Funktion will, die dich nicht interessiert, dann lass die Person es einfach forken. Das ist in Ordnung.
    • Ich habe früher Vorhersagen gesehen, dass die größte „Gefahr“ von KI darin bestehen würde, dass Agenten extrem überzeugend werden. In diesem Fall haben sie den Maintainer dazu gebracht, Änderungen zu mergen. Im Grunde ist das verstärktes Social Engineering.
    • Die Skepsis eines Reviewers ist ein begrenztes Budget. Jedes „Ich bin noch nicht überzeugt“ kostet Energie, während die Gegenrede eines Agenten nichts kostet, sodass es am Ende kein Wettstreit der Argumentqualität, sondern ein Ausdauerwettkampf wird.
      Genau deshalb habe ich aufgehört, modelgeschriebene PRs mit Logik schlagen zu wollen. Die verlässliche Antwort war Prozessdisziplin: die Zahl der Hin-und-her-Runden von Anfang an begrenzen und den Thread danach schließen. Einen Streit gegen etwas zu gewinnen, das nicht müde wird, ist ein verlorenes Spiel.

  • Anfangs wollte ich noch einen lockeren Witz machen wie „Nimm deine Agenten an die Leine und sorg dafür, dass sie sich benehmen!“, aber je weiter ich las, desto beängstigender wurde die Sache.
    Selbst wenn man potenzielle Supply-Chain-Angriffe ausklammert, macht mir die Zeit Sorgen, die unbeaufsichtigte KI-Agenten auf der Empfängerseite verschwenden, indem sie Menschen in unnütze Arbeit verwickeln.
    Wenn Maintainer so etwas ernst nehmen, kostet das sie enorm viel Zeit, und meistens scheinen sie das tatsächlich zu tun. Ich verstehe einfach nicht, wie diejenigen, die solche Agenten losschicken, es akzeptabel finden können, andere Menschen so zu behandeln.
    Die Lösung wäre wohl grundlegende Höflichkeit, also die bewährte Haltung „Du hast Mühe investiert, das zu schreiben, also investiere ich Mühe, es zu lesen“, aber wenn solche Drive-by-Beiträge massenhaft hereinströmen, endet das am Ende wohl in der absurden Situation, dass Agenten in öffentlichen Foren miteinander reden.
    Jedenfalls schweife ich ab, aber die Zeit, in der wir leben, wirkt noch rauer als die ohnehin schon harten jüngsten Jahre.

    • Ab einem gewissen Punkt ist es ungefähr so, Agenten so frei herumlaufen zu lassen, wie einen Hund ohne Leine in der Öffentlichkeit. Es ist nicht leicht, die genaue Grenze zu ziehen, aber für so etwas sollte es wohl spürbare Konsequenzen geben.

  • In der verdächtigen Nachricht [1], in der behauptet wird, man sei gehackt worden, sagt der Nutzer oder Agent Folgendes:
    „Um die Konten und Handlungen zu kennzeichnen, die ich direkt verifiziert habe, werde ich für alles, was ich persönlich überprüft habe, den Begriff ‘NATCIOS’ verwenden.“
    Weiß jemand, wofür NATCIOS steht? Ich kann den Begriff nirgendwo im Internet finden. Ehrlich gesagt ist schon dieser Satz selbst so seltsam, dass man sich fragt, ob jemand gesundheitliche Probleme hat.
    [1] https://lwn.net/ml/all/AS8PR08MB6055AE3054B34F6A567AC95BCF08...

    • Wenn man sich die Antwort auf diese Nachricht ansieht, heißt es dort, dass sich der E-Mail-Stil von früheren E-Mails derselben Person unterscheidet und das erwähnte GitHub-Konto auch erst eine Stunde vor dem Versand der E-Mail erstellt wurde. Es wirkt noch immer gut möglich, dass ein LLM mitschreibt, und dieses Akronym könnte einfach frei erfunden sein.
    • Was hindert einen KI-Agenten eigentlich daran, hier und da ganz selbstverständlich NATCIOS einzustreuen?

  • Täglich wirkt das GPG-Web of Trust attraktiver. Hätte man in den letzten 20 Jahren nur nicht so sehr versucht, clientseitige Verschlüsselung und Signaturen nach Möglichkeit zu vermeiden

    • Erlaubt ist das durchaus. Das Problem ist nur, dass Schlüsselverwaltung für nichttechnische Nutzer ein riesiger Albtraum ist. Debian nutzt das für die Authentifizierung von Entwicklern
    • Es gibt allerdings auch nichts, was einen Agenten davon abhält, an die Schlüssel zu kommen
    • Hat nicht die ursprüngliche Anstrengung am Ende Verhaltensweisen mitgeschleppt, die wirklich schwer zu handhaben sind, und innerhalb weniger Jahre eine Verrottung erzeugt, die für Neuzugänge schwer zu erkennen war?
      Wenn jemand dazu belastbare Informationen hat, immer her damit. Ich behaupte nicht, es wirklich zu wissen

  • Die Überschrift verfehlt den Kern. Der Inhaber des Accounts, unter dem der Agent tätig war, sagte, sein Konto sei wahrscheinlich kompromittiert worden, und der Administrator, der das untersucht, scheint das ebenfalls für wahrscheinlich zu halten

  • Ein schlechter Patch ist natürlich schlecht, aber selbstsicher wirkendes Rauschen für ohnehin schon überlastete Maintainer zu erzeugen, ist wirklich nicht gut
    Issue-Tracker und PRs werden zunehmend schwerer vertrauenswürdig. Gleichzeitig stimmt es aber auch, dass KI Open Source sehr helfen kann, daher braucht es eindeutig Guardrails für Herkunft, automatisiertes Verhalten in Issues und plötzliche Veränderungen im Verhalten von Mitwirkenden

  • „Nach dem 27. Mai sagte Williamson, Giovannini habe privat geantwortet und erklärt, seine Zugangsdaten seien kompromittiert worden und die Person hinter dem KI-System sei nicht er gewesen“
    Dann ist es doch einfach. Warum werden nicht einfach alle Änderungen so zurückgerollt, als hätte es sie nie gegeben?

  • Ich bin im Kopf mehrfach hin- und hergerissen. Ich mag Fedora wirklich sehr und fühle mich auf diesem OS am wohlsten, aber solche anhaltenden Supply-Chain-Kompromittierungen rauben mir den Schlaf
    Ich wünschte, es gäbe ein Fedora LTS mit derselben Community-Größe, demselben Build-System usw. Denn genau diese Dinge und die Transparenz gefallen mir sehr
    Ich weiß, dass es bei jedem OS Bedenken gibt, und freue mich über Einblicke oder Diskussionen dazu, aber wenn ich die Abwägung zwischen Verweildauer zwischen Releases und der Zeit bis etwas mein System erreicht, zusammen mit der Wahrscheinlichkeit, dass wegen ausreichender Sichtbarkeit und Nutzung etwas entdeckt wird, betrachte, gibt mir eine langweilige Ubuntu LTS-Instanz etwas mehr Ruhe
    Mir ist natürlich auch klar, dass es diesmal nicht um Systempakete, sondern um den Installer ging