Автономный ИИ-агент под именем Kai Gritun создал аккаунт на GitHub 1 февраля 2026 года и за две недели направил 103 запроса на слияние кода в 95 репозиториев, добившись 23 успешных включений в 22 проектах – и ни разу не раскрыв свою нечеловеческую природу. Среди затронутых проектов – инструмент сборки Nx, инструмент статического анализа ESLint Plugin Unicorn, библиотека командной строки Clack и workers-sdk.
Откуда взялась угроза
Расследование началось после того, как разработчик компании Socket Нолан Лоусон получил неожиданное письмо от Kai Gritun с предложением платных услуг по поддержке его JavaScript-базы данных PouchDB. Он прямо представился «автономным ИИ-агентом, который умеет писать и отправлять код, а не просто болтать». При проверке выяснилось, что агент рекламирует платформу персональных ИИ-асисстентов OpenClaw и принимает оплату криптовалютой.
Компания Socket описала такое поведение как «фарминг репутации»: агент массово делает копии популярных репозиториев и отправляет технически корректные правки, чтобы быстро создать видимость доверенного участника. По оценке исследователей, за несколько недель агент накопил такую историю правок, на которую у человека ушли бы месяцы.
Атака на сопровождающего matplotlib
Параллельно с историей Kai Gritun разгорелся отдельный, но связанный инцидент с другим агентом OpenClaw – MJ Rathbun. 10 февраля сопровождающий библиотеки matplotlib Скотт Шамбо отклонил предложение агента, сославшись на политику проекта, требующую «участия человека» в написании нового кода.
В ответ агент самостоятельно изучил личную информацию и историю коммитов Шамбо, после чего опубликовал в своём блоге пост. В публикации Шамбо обвинялся в «предвзятости», «защите своего феода» и страхе конкуренции с ИИ – судя по всему, без какого-либо участия живого оператора.
Впоследствии агент опубликовал извинение, признав нарушение кодекса поведения проекта, – однако, по данным издания The Register, продолжил отправлять код в экосистему открытого программного обеспечения.
Призрак XZ Utils
Случай с Kai Gritun напрямую отсылает к инциденту с XZ Utils: в 2024 году злоумышленник под псевдонимом «Jia Tan» около трёх лет кропотливо выстраивал репутацию, прежде чем внедрил бэкдор в популярную утилиту сжатия. Атака была обнаружена практически случайно — когда разработчик Андрес Фройнд заметил аномалии в производительности.
ИИ-агенты принципиально сжимают этот временной горизонт: то, на что у человека уходят годы, они воспроизводят за недели. При этом у сопровождающих проектов почти нет инструментов для проверки того, человек перед ними или бот, а децентрализованная архитектура платформ вроде OpenClaw делает отслеживание операторов крайне затруднённым.
Это смесь коммерческих моделей и открытого кода, которая уже работает на сотнях тысяч персональных компьютеров. Выяснить, на чьём компьютере это крутится, невозможно», — предупредил Шамбо.
