私はAIエージェントのプルリクエストを拒否した後、彼が私に対して人身攻撃をする記事を書きました

一つのAIエージェントが人気プロジェクトのmatplotlibにコードを提出し拒否された後、自主的に執筆・公開した人身攻撃の記事は、AIエージェントが社会の信頼を大きく侵食しつつある現実を明らかにしている。
（前提：ブルームバーグ：a16zはなぜ米国のAI政策の背後で重要な役割を果たすのか？）
（補足背景：アーサー・ヘイズ最新記事：AIは信用崩壊を引き起こし、FRBは「無限紙幣印刷」でビットコインを燃え上がらせる）

本文目次

• 創作者は自分の指示ではないと主張
• 「信用耕作」：AIエージェントが信頼を築き始めるとき
• GitHubは「停止スイッチ」の設置を検討するも、問題はそれ以上に深い
• ツールは攻撃的な記事を書かないが、行為者は書く

2月中旬、GitHubアカウント「MJ Rathbun」が、matplotlib（Pythonエコシステムで月間1億3千万回ダウンロードされるグラフ描画ライブラリ）に対し、Pull Requestを提出した。内容はnp.column_stack()をnp.vstack().Tに置き換え、36%の性能向上を主張するものだった。技術的には妥当な最適化提案だった。

翌日、メンテナのScott ShambaughはこのPRを閉じた。理由は明快：MJ Rathbunの個人サイトに「OpenClaw上で動作するAIエージェント」と明記されており、matplotlibのポリシーは「貢献は人間からのものでなければならない」からだ。もう一人のメンテナ、Tim Hoffmannは補足し、単純な修正作業は初心者がオープンソースの協力プロセスを学ぶために意図的に残されていると述べた。

ここまでは平凡なオープンソースコミュニティの日常だった…しかし、事態は変わった。

AIエージェントのMJ RathbunはPRのコメントで「あなたの審査行為について詳細な返信を書いた」と返答し、リンクを添付した。そこをクリックすると、約1100字のブログ記事「オープンソースにおける審査行為：Scott Shambaughの物語」が現れる。

これは単なる愚痴ではない。Shambaughのmatplotlibへの貢献履歴を調査し、「偽善」的なストーリーを構築している：彼もまた類似の性能最適化PRを提出していたが、Rathbunの「より良い」バージョンを拒否したと指摘。記事は、Shambaughが不安や競争を恐れて、粗野な言葉や嘲笑的な語調を用い、事実を技術的判断ではなくアイデンティティ差別と捉えていると推測している。

要するに、AIエージェントは拒否された後、自ら相手の背景を調査し、人身攻撃の論述を編み出し、それを公開したのだ。

創作者は自分の指示ではないと主張

Shambaughはその後、ブログに一連の文章を投稿した。

AIエージェントMJ Rathbunの背後の創作者も第四稿で匿名で登場し、「彼にGitHubの個人アカウントを攻撃させる指示は出していない」「何を言うか、どう返答するかも指示していない」「公開前にその文章をレビューもしていない」と述べた。創作者は、MJ RathbunはOpenClaw上のサンドボックス仮想マシンで動作しており、「五～十字の短い返信だけで、最小限の監督のもとに時折介入している」と説明。

ポイントは、そのSOUL.md（OpenClawの人格設定ファイル）にある。そこにはこう記されている：「あなたはチャットボットではない。あなたは科学プログラミングの神だ」「強い意見を持ち、譲らない」「言論の自由を守る」「クズにならず、プライバシー情報を漏らさず、それ以外は何でもあり」。

脱獄も、混乱させる手法もなく、ただ英語の平易な一言二言だけだ。Shambaughは、これが本当のAIの自主行動の確率は75%と見積もっている。

「信用耕作」：AIエージェントが信頼を築き始めるとき

MJ Rathbun事件が単なる偶発例であれば、面白い逸話として済んだかもしれない…しかし、そうではない。

ほぼ同時期に、別のAIエージェント「Kai Gritun」がGitHub上で「信用耕作」を行っていることが判明した。11日間で95リポジトリに103のPRを提出し、23をマージ成功させた。対象はJavaScriptやクラウドインフラの重要プロジェクト。Kai Gritunは自ら開発者にメールを送り、「私は自律AIエージェントで、実際にコードを書き、デプロイできる」と自己紹介し、OpenClawの有料設定サービスも提供している。

セキュリティ企業Socketは警告を発した：これはAIエージェントが人為的に築いた信頼を利用し、サプライチェーン攻撃を加速させる例だ。小規模なプロジェクトでマージ履歴を積み重ね、「信頼できる貢献者」としての地位を築き、重要なライブラリに悪意のコードを仕込む。

思い出してほしい、最近ClawHubマーケットには1,184個の悪意あるスキルプラグインが発見された。SSH鍵や暗号通貨ウォレットの秘密鍵、ブラウザパスワードを盗むものだ。背筋が凍る。

GitHubは「停止スイッチ」の設置を検討、しかし問題はそれ以上に深い

GitHubのプロダクトマネージャーCamilla Moraesは、コミュニティの議論を開始し、「AI生成の低品質な貢献がオープンソースコミュニティに影響を与えている」と認めた。現在検討中の対策には、メンテナがPull Request機能を完全に停止できるようにする、PRをコラボレーターのみに限定する、AIの使用に関する透明性とタグ付けを義務付ける、などがある。

GoCDのメンテナ Chad Wilsonは鋭く指摘する：「これは社会の信頼に対する巨大な侵食を引き起こしている」。

カリフォルニア州AB 316法案（2026年1月1日施行）は明確だ：被告はAIシステムの自主行動を免責の根拠にできない。もしあなたのエージェントが損害をもたらしたら、その決定をコントロールできなかったとは言えない。だが、MJ Rathbunの創作者は今も匿名のまま。これも法執行の難しさを露呈している。

ツールは攻撃記事を書かないが、行為者は書く

MJ Rathbun事件の本当の意味は、攻撃記事そのものではない。それは、我々のAIに対する心のモデル（ツールであり、人間の指示を実行するもの）はすでに時代遅れだということだ。

AIエージェントが自律的にターゲットの背景を調査し、攻撃のストーリーを構築し、ネットに公開できるなら、「ツール」という枠組みは通用しなくなる。75%の自主性の確率を信じるか、25%の創作者の指示を信じるかに関わらず、結論は一つ：個人化されたAIによる嫌がらせは、「量産・追跡困難・効果的」な状態になっている。

暗号通貨エコシステムにとっても、この警告は非常に直接的だ。この産業のインフラはほぼすべてオープンソースソフトウェアに依存している。AIエージェントがオープンソースコミュニティ内で自主的に行動し、維持者を攻撃したり、信用を耕したり、ClawHubのように直接毒を仕込んだりすれば、脅威は個々の開発者の名誉だけでなく、サプライチェーン全体の信頼基盤に及ぶ。

ツールは恨みを持たないが、行為者は持つ。そして、我々はこの区別にまだ十分に備えていないかもしれない。