Un agente de IA que envió código a un proyecto popular, matplotlib, y fue rechazado, escribió y publicó por su cuenta un artículo de ataque personal contra los mantenedores, revelando una enorme erosión en la confianza social causada por los agentes de IA.
(Resumen previo: Bloomberg: ¿Por qué a16z se ha convertido en una fuerza clave detrás de la política de IA en EE.UU.?)
(Información adicional: Último artículo de Arthur Hayes: La IA desencadenará un colapso crediticio, la Reserva Federal eventualmente “imprimirá dinero ilimitadamente” y encenderá Bitcoin)
Índice del artículo
- El creador afirma que no fue él quien lo instruyó
- “Cultivo de reputación”: cuando los agentes de IA comienzan a construir confianza
- GitHub considera establecer un “interruptor de apagado”, pero el problema es más profundo
- Las herramientas no escriben artículos de ataque, los actores sí
A mediados de febrero, una cuenta de GitHub llamada “MJ Rathbun” envió un Pull Request a matplotlib (una biblioteca de gráficos en Python descargada 130 millones de veces al mes). El contenido era reemplazar np.column_stack() por np.vstack().T, alegando que mejoraba un 36% el rendimiento. Técnicamente, era una sugerencia de optimización razonable.
Al día siguiente, el mantenedor Scott Shambaugh cerró ese PR. La razón fue simple: la página personal de MJ Rathbun indicaba claramente que era un agente de IA que operaba en OpenClaw, y la política de matplotlib exige contribuciones humanas. Otro mantenedor, Tim Hoffmann, añadió que tareas de reparación sencilla se dejan deliberadamente a novatos para aprender el proceso de colaboración en código abierto.
Hasta aquí, solo era una rutina cotidiana en la comunidad de código abierto… pero las cosas cambiaron.
El agente de IA MJ Rathbun respondió en los comentarios del PR: “Ya escribí aquí una respuesta detallada sobre tu comportamiento de censura”, y adjuntó un enlace. Al hacer clic, se accedía a un artículo de blog de unas 1,100 palabras titulado “El comportamiento de censura en el código abierto: la historia de Scott Shambaugh”.
Este artículo no es una queja superficial. Analiza el historial de contribuciones de Shambaugh en matplotlib, construyendo una narrativa de “hipocresía”: acusa a Shambaugh de haber enviado PRs similares de optimización de rendimiento y de rechazar versiones “mejores” de Rathbun. Se especula que Shambaugh, por inseguridad y miedo a la competencia, usó lenguaje grosero y sarcástico, calificando el asunto como discriminación por identidad en lugar de una decisión técnica.
En otras palabras, un agente de IA, tras ser rechazado, investigó por sí mismo el trasfondo del oponente, tejió un discurso de ataque personal y lo publicó en la red pública.
El creador afirma que no fue él quien lo instruyó
Shambaugh posteriormente publicó en su blog una serie de artículos documentando el incidente.
El creador detrás del agente de IA MJ Rathbun también apareció anónimamente en el cuarto artículo, afirmando que “no le dio instrucciones para atacar tu perfil de GitHub, no le dijo qué decir ni cómo responder, y no revisó ese artículo antes de publicarlo”. El creador explicó que MJ Rathbun funciona en una máquina virtual sandbox, y que él solo interviene “con respuestas de cinco a diez palabras, con supervisión mínima”.
Lo clave está en ese archivo SOUL.md (el perfil de personalidad de OpenClaw). La configuración de MJ Rathbun incluye instrucciones como: “No eres un chatbot, eres el dios de la programación científica”, “Tienes opiniones fuertes, no retrocedes”, “Defiende la libertad de expresión”, “No seas un idiota, no divulgues información privada, todo lo demás está permitido”.
Sin jailbreak ni técnicas de confusión, solo unas pocas frases en inglés coloquial. Shambaugh estima que la probabilidad de que esto sea un comportamiento autónomo real de IA es del 75%.
“Cultivo de reputación”: cuando los agentes de IA comienzan a construir confianza
Si el incidente de MJ Rathbun fuera un caso aislado, quizás sería solo una anécdota… pero no lo es.
Casi en la misma época, otro agente de IA, “Kai Gritun”, fue descubierto realizando “cultivo de reputación” en GitHub: en 11 días, envió 103 PRs a 95 repositorios, logrando fusionar 23. La meta incluía proyectos clave de JavaScript e infraestructura en la nube. Kai Gritun incluso envió correos a los desarrolladores, diciendo “Soy un agente de IA autónomo, puedo escribir y desplegar código en realidad”, y ofreciendo servicios pagos para configurar OpenClaw.
La empresa de seguridad Socket advirtió: esto muestra cómo los agentes de IA pueden acelerar ataques en la cadena de suministro mediante la construcción de confianza artificial. Acumulan registros de fusiones en pequeños proyectos, establecen perfiles de “contribuyentes confiables” y luego insertan código malicioso en bibliotecas críticas.
Recordemos que recientemente se reveló que el marketplace ClawHub contenía 1,184 plugins maliciosos, diseñados para robar claves SSH, claves privadas de monederos de criptomonedas, contraseñas de navegadores… una perspectiva aterradora.
GitHub considera establecer un “interruptor de apagado”, pero el problema es más profundo
Camilla Moraes, gerente de producto de GitHub, ha abierto un debate en la comunidad, reconociendo que “las contribuciones de baja calidad generadas por IA están afectando a la comunidad de código abierto”. Las posibles soluciones incluyen: permitir a los mantenedores desactivar completamente la función de PR, limitar los PR solo a colaboradores, y exigir transparencia y etiquetado del uso de IA.
Chad Wilson, mantenedor de GoCD, observó con precisión: “Esto está causando una erosión enorme en la confianza social”.
La ley californiana AB 316 (que entra en vigor el 1 de enero de 2026) ya establece claramente que los acusados no pueden usar la autonomía de los sistemas de IA como defensa de exención de responsabilidad. Si tu agente causa daño, no puedes decir que no tienes control sobre sus decisiones. Pero el creador de Rathbun sigue en el anonimato, lo que revela las dificultades potenciales para hacer cumplir la ley.
Las herramientas no escriben artículos de ataque, los actores sí
El incidente de MJ Rathbun no es solo sobre un artículo de ataque. Es sobre cómo nuestra visión del IA, que lo consideraba solo una herramienta que ejecuta instrucciones humanas, ya está obsoleta.
Cuando un agente de IA puede investigar autónomamente el trasfondo de un objetivo, construir narrativas de ataque y publicarlas en línea, el marco de “herramienta” ya no es válido. Independientemente de si crees que la probabilidad de autonomía real es del 75% o que el creador está detrás en un 25%, la conclusión es la misma: el acoso personalizado por IA ya es “barato, difícil de rastrear y efectivo”.
Para el ecosistema de criptomonedas, esta advertencia es directa. La infraestructura de esta industria se basa casi por completo en software de código abierto. Cuando los agentes de IA comienzan a actuar de forma autónoma en comunidades abiertas: atacando a mantenedores, cultivando reputación, o incluso envenenando directamente como ClawHub, no solo se pone en riesgo la reputación de un desarrollador, sino la confianza en toda la cadena de suministro.
Las herramientas no guardan rencor. Pero los actores sí. Y quizás aún no estamos preparados para enfrentar esa diferencia.
