BR-Linux.org

A invasão de um agente de IA no bugzilla do Fedora teve sucesso em transferir e encerrar vários chamados indevidamente e até em injetar código incorreto no instalador Anaconda.

Em mais um incidente que coloca em contato as distribuições populares, a segurança da informação e a ação de agentes de IA, no final de semana circularam os relatos sobre a indesejada ocorrência vivida no projeto Fedora no final de maio.

O incidente aconteceu após as credenciais de um colaborador legítimo serem comprometidas, permitindo que o sistema automatizado gerasse correções falsas e insistisse em respostas robotizadas para levar os mantenedores humanos a incluir no instalador Anaconda um patch que introduziu erros no sistema.

Esse incidente de segurança evidenciou os riscos reais que a automação impõe às cadeias de suprimentos de software (de código aberto ou não), servindo mais uma vez de alerta sobre o potencial de dano causado pela sucessão de ataques deste ano voltados a capturar chaves e senhas de desenvolvedores.

No caso concreto, as interações geradas por IA chegaram a causar a inclusão de código falho na versão 45.5 do instalador Anaconda, antes do efeito ser detectado e revertido pela equipe de controle de qualidade.

No âmbito do projeto, o caso reabriu debates intensos sobre a obrigatoriedade de autenticação em duas etapas para colaboradores do projeto, uma discussão que estava estagnada desde o ataque à biblioteca XZ (2024), mas que esbarra em entraves técnicos de ferramentas antigas, como o próprio Bugzilla.