Május 27-én Adam Williamson, a Fedora QA csapat tagja levelet írt a közreműködő Nathan Giovannininak, és másolatban rátette a projekt devel és test levelezőlistáit, hogy mindenki lássa, mi történt.

Adam átnézte Nathan Bugzilla-előzményeit, és olyasmit talált, amit „valamilyen agentikus AI rendszer” munkájának írt le, amely felügyelet nélkül tevékenykedett a Fedora hibakövetőjében és több upstream projektben is.

Nem sokkal később Nathan válaszolt: azt írta, feltörték a fiókját, és semmi köze ahhoz, ami történt.

Skynet, te vagy az?

Az ügynök tömegesen osztotta újra a Bugzilla bejelentéseket Nathan fiókjára, pedig ő egyetlen érintett csomagnak sem karbantartója. A Fedora Bugzilla rendszerében az a szabály, hogy a címzett az legyen, aki ténylegesen meg tudja oldani a hibát downstream, jellemzően a csomag karbantartója.

Emellett idő előtt zárt le hibákat, pedig a helyes eljárás az lett volna, hogy a hibát POST állapotúra jelölik, ha upstream már javasoltak egy javítást, de azt még nem vitték át downstream. Az ügynök viszont egyszerűen lezárta őket, miután beküldött vagy beolvasztott egy upstream javítócsomagot.

Ott voltak a NOTABUG lezárások is. Az ügynök olyan komponensekben is lezárt hibákat, amelyekhez semmi köze nem volt, olyan megjegyzésekkel, amelyeket Adam egyértelműen LLM által generáltnak azonosított. Némelyik komment csak megismételte, amit az eredeti bejelentő már leírt. Mások hihetően hangzottak, de hibásak voltak.

A negyedik probléma volt a legsúlyosabb. Az ügynök hibás javítást küldött be az Anaconda telepítő projekthez, és amikor egy karbantartó vitatta, újabb és újabb LLM-generált válaszokat küldött, míg a karbantartó végül beadta a derekát, és beolvasztotta a kódot.

Az Anaconda csapat visszavonta a PR-t, de két kapcsolódó pull request már bekerült az Anaconda 45.5 kiadásba.

Ellátási lánc probléma?

Ez nem egy különösebben kifinomult támadás.

Feltörnek egy közreműködői fiókot, egy AI ügynök végigszalad rajta, és hibás kód kerül be egy kiadásba, mielőtt bárki észrevenné. Most sikerült időben elkapni és kitakarítani a kárt, de maga a forgatókönyv nem nehezen másolható.

Fedora tavaly szabályzatot fogadott el az AI által segített hozzájárulásokról, amely a teljes felelősséget az emberi közreműködőre teszi, és átláthatóságot követel meg, ha AI eszközöket használnak. Kifejezetten tiltja az ellenőrizetlen, gyenge minőségű gépi tartalom beküldését.

Most pontosan azok a helyzetek következtek be, amelyekre a szabályzat a legrosszabb esetként számolt, csak éppen egy ellopott fiókon keresztül, nem pedig rosszhiszemű közreműködő miatt, így a szabályzat gyakorlatilag nem tudott érvényesülni.

A nyílt forráskódú szoftverek szinte minden modern vállalati infrastruktúra alapját adják, ezért kell az ellátási lánc szempontját nagyon komolyan venni.

Az IBM és a Red Hat május végén jelentette be az Project Lightwellt, egy 5 milliárd dolláros kezdeményezést, amely AI eszközökkel és több mint 20 000 mérnökkel próbálja biztonságosabbá tenni a nyílt forráskódú ellátási láncokat. A cél a sebezhetőségek kezelése upstream és vállalati környezetekben, a programnyelvi ökoszisztémáktól az AI frameworkökig.

Konkrétan azonban nem foglalkozik azzal a problémával, amikor agentikus AI eltérített közreműködői fiókokon keresztül működik, de jól mutatja, merre tart az iparág, miközben az AI egyszerre gyorsítja fel a sebezhetőségek felfedezését és kihasználását.

Fedora 2FA-problémája nem múlik el magától

Az incidens egy olyan vitát indított el a devel listán, amely láthatóan azóta sem rendeződött, hogy 2024-ben kirobbant az XZ backdoor ügye.

Daniel Berrangé, a Red Hat mérnöke és régi Fedora közreműködő emlékeztetett rá, hogy a kötelező 2FA már akkor szóba került; az egyetlen eredmény az lett, hogy enyhén javasolták a provenpackagers számára a bekapcsolását, de azóta sem történt semmi.

Fabio Valentini egy másik problémára hívta fel a figyelmet: a mostani tevékenység nagy része a Bugzillában zajlott, amely saját fiókrendszert használ, és lehet, hogy egyáltalán nem támogatja a 2FA-t. Daniel ezt elismerte, de azt mondta, ez nem ok arra, hogy ne tegyék kötelezővé a 2FA-t a Fedora Accounts (FAS) esetében, és megjegyezte, hogy a Bugzilla szerepe csökkenhet, ha Fedora végül átáll a Fedora Forge hibakövetőjére.

Michael Catanzaro, egy GNOME fejlesztő azt írta, mindenhol használ 2FA-t, kivéve Fedora-nél, pedig a Fedora fiókja a legérzékenyebbek közé tartozik. Nála az a szűk keresztmetszet, hogy a Kerberos ticket megújítása nem működik rendesen a 2FA-val a GNOME Online Accounts esetében.

Végső soron, miután egy feltört fiókon keresztül hibás kód került a tárolóikba, a Fedora közösségnek fel kell pörgetnie az erőfeszítéseit, és kötelezővé kell tennie a 2FA-t azoknak a közreműködőknek, akiknek a munkája sok felhasználót érint.