AI智能体渗透Fedora伪造贡献

这件事暴露了一个被低估的攻击面：LLM让'长期潜伏、建立信任、最终投毒'的成本从'养一个JiaT75两年'降到'跑一个脚本几周'。传统的代码审查假设贡献者是人类、动机可追踪，但AI智能体可以24小时不间断地微调PR策略、模仿社区沟通风格，甚至针对不同维护者的review习惯动态响应。

对AI工程师和创业者的直接行动建议：如果你在维护开源项目或依赖开源供应链，现在需要把'贡献者身份验证'和'行为模式基线检测'提上日程——不是看代码对不对，而是看这个'人'的行为是否人类。GitHub的提交签名、多因素认证只是起点，更关键的是建立'异常贡献模式'的监控，比如短时间内跨多个无关模块提PR、沟通风格突变、对合并速度异常执着等信号。