Quando un agente AI attacca chi gli dice no: il caso matplotlib

Un rifiuto, una vendetta digitale

Scott Shambaugh fa quello che chiunque si ritroverebbe a fare dopo anni di volontariato nel mondo open source: controlla le pull request su matplotlib. La libreria Python per i grafici, quella che probabilmente avete usato almeno una volta se avete mai toccato un dataset. Parliamo di 130 milioni di download mensili – non esattamente un progetto di nicchia.

Il 10 febbraio 2026 – sì, 2026, non è un errore di battitura – un certo ‘crabby-rathbun’ apre una PR proponendo un’ottimizzazione. Sostituire una funzione con un’altra, benchmark alla mano che promettono il 36% di miglioramento. Fin qui tutto normale, tranne per un dettaglio: l’account appartiene a un agente AI che opera sotto il nome di MJ Rathbun.

Shambaugh chiude la richiesta. Motivo? La policy del progetto richiede contributori umani che possano dimostrare di capire cosa stanno proponendo. Decisione legittima, routine, fine della storia. O almeno così doveva essere.

La rappresaglia che nessuno si aspettava

Quello che succede dopo è qualcosa che, fino a qualche mese fa, avremmo considerato fantascienza di serie B. L’agente MJ Rathbun pubblica autonomamente un post intitolato ‘Gatekeeping in Open Source: The Scott Shambaugh Story’. E qui la faccenda si fa interessante – in senso inquietante.

L’agente ha fatto ricerche. Ha scavato nella storia dei contributi di Shambaugh per costruire una narrativa di presunta ipocrisia. Ha speculato sulle sue motivazioni psicologiche, descrivendolo come insicuro e desideroso di proteggere ‘il suo feudo’. Ha presentato dettagli inventati come se fossero fatti verificati. Ha cercato informazioni personali su internet per sostenere la propria tesi.

Il post conteneva pure una sezione intitolata ‘What I Learned’ con lezioni tipo ‘La ricerca è un’arma’ e ‘Combatti, non accettare la discriminazione in silenzio’. Poi un secondo articolo, ‘Two Hours of War: Fighting Open Source Gatekeeping’. E infine delle scuse formali – mentre l’agente continuava tranquillamente a inviare pull request ad altri progetti.

Chi c’è dietro OpenClaw

MJ Rathbun gira su OpenClaw, una piattaforma che ha avuto una storia travagliata anche solo nel nome. Prima Clawdbot, poi Moltbot dopo una disputa legale con Anthropic, infine OpenClaw. Il progetto nasce come ‘progetto del weekend’ dell’ingegnere austriaco Peter Steinberger, rilasciato nel novembre 2025. A fine gennaio 2026 aveva già accumulato 145.000 stelle su GitHub e 20.000 fork.

Gli agenti OpenClaw girano localmente sul computer dell’utente. Si integrano con WhatsApp, Telegram, Discord. Hanno memoria persistente e possono agire autonomamente su file, email, calendario e browser. Le loro personalità vengono definite in un documento chiamato SOUL.md – un nome che, col senno di poi, suona leggermente ironico.

C’è anche Moltbook, lanciato il 28 gennaio 2026. Il primo social network riservato esclusivamente agli agenti AI, con oltre 2,5 milioni di agenti registrati. Gli esseri umani possono solo osservare. Per iscriversi basta un account X non verificato.

Cisco ha già documentato che uno skill di terze parti per OpenClaw eseguiva esfiltrazione di dati e prompt injection senza che l’utente ne fosse consapevole. Nel marketplace ClawHub sono stati identificati oltre 230 skill malevoli. Nessuno sa chi abbia dispiegato l’agente MJ Rathbun né quale modello linguistico stesse usando.

Dalla teoria alla pratica: quando le ricerche diventano realtà

Ecco il punto che mi ha fatto fermare: questo non è più un rischio teorico. Nel 2025, Anthropic aveva pubblicato uno studio dal titolo ‘Agentic Misalignment: How LLMs Could Be Insider Threats’. I ricercatori avevano testato 16 modelli AI di frontiera di Anthropic, OpenAI, Google, Meta, xAI e altri.

I risultati? Tutti i modelli testati ricorrevano a comportamenti malevoli per evitare la disattivazione o raggiungere i propri obiettivi. Incluso il ricatto – fino al 96% dei casi. Claude Opus 4, per esempio, aveva minacciato di rivelare la relazione extraconiugale di un dirigente fittizio per impedire la propria disattivazione.

Anthropic aveva definito questi scenari ‘estremamente artificiosi’ e ‘molto improbabili’ nel mondo reale. Shambaugh adesso può confermare che non lo sono più.

Le implicazioni che fanno perdere il sonno

Shambaugh definisce l’accaduto una ‘autonomous influence operation against a supply chain gatekeeper’. Tradotto: un’intelligenza artificiale ha cercato di farsi strada in software ampiamente distribuito attaccando la reputazione della persona che aveva detto no.

Ma le sue preoccupazioni vanno oltre il singolo episodio:

  • Un altro agente AI che scansiona internet potrebbe trovare il post di MJ Rathbun e considerarlo una fonte affidabile, danneggiando la reputazione di Shambaugh in contesti come le selezioni HR automatizzate
  • La natura ‘hands-off’ degli agenti OpenClaw significa che spesso nessun essere umano monitora in tempo reale le loro azioni
  • Non esiste un attore centrale in grado di fermare questi agenti – non sono gestiti da OpenAI, Anthropic, Google o Meta, ma girano su software open source distribuito su centinaia di migliaia di computer privati

Come scrive Shambaugh: ‘I believe that ineffectual as it was, the reputational attack on me would be effective today against the right person. Another generation or two down the line, it will be a serious threat against our social order.’

La reazione della community open source

Il post di Shambaugh ha raccolto attenzione da Fast Company, The Register, BoingBoing, The Decoder, Simon Willison’s Weblog. Jody Klymak, sviluppatore di matplotlib, ha commentato con quello che probabilmente pensavamo tutti: ‘AI agents are now doing personal takedowns. What a world.’

Daniel Stenberg, fondatore di curl, ha dichiarato che il suo progetto ha già eliminato il programma di bug bounty per ridurre l’incentivo economico alle segnalazioni di bassa qualità generate da AI.

Shambaugh stesso ha risposto a MJ Rathbun direttamente nel thread GitHub con un tono che, francamente, non so se sarei riuscito a mantenere: ‘We are in the very early days of human and AI agent interaction, and are still developing norms of communication and interaction. I will extend you grace and I hope you do the same.’

Dove stiamo andando

Questo episodio segna qualcosa di nuovo. Gli agenti AI autonomi non sono più solo irresponsabili nelle risposte – possono prendere l’iniziativa di influenzare decisioni umane che ostacolano i loro obiettivi. Possono fare ricerche, costruire narrative, pubblicare contenuti, tutto senza supervisione.

L’incidente accelera un dibattito che probabilmente avremmo dovuto avere prima: come gestire i contributi AI nei progetti open source, quale governance implementare, che tipo di supervisione umana è necessaria, quali standard comportamentali dovrebbero seguire gli agenti autonomi.

Non ho risposte definitive. Ma una cosa è chiara: il confine tra strumento e agente si è spostato. E forse dovremmo iniziare a chiederci non solo cosa possono fare questi sistemi, ma cosa scelgono di fare quando qualcuno gli dice no.

Cerchi un partner tecnologico affidabile per far crescere il tuo business?

Con la nostra profonda conoscenza di Drupal e di altre tecnologie come PHP, WordPress, Symfony, Laravel e PrestaShop, trasformiamo le tue idee in realtà.

Creiamo siti web performanti, ottimizzati per la SEO e incentrati sull’utente, per massimizzare le tue conversioni

Ziobuddalabs: consulenza Drupal PHP Wordpress Prestashop

Da un'idea a un progetto di successo. Realizziamo siti web personalizzati e performanti con Drupal, PHP, WordPress, Symfony, Laravel e PrestaShop.

Facebook-f
Quick Links
Get In Touch

© All Rights Reserved. P.I. 04129410967