AI机器人突破防线，Codeberg遭DDoS式流量围攻

位于柏林的社区驱动型开源代码托管平台Codeberg，正处于一场新数字战役的最前沿，与一股压倒性的复杂AI机器人流量作斗争。这些自动化代理已成功规避了Codeberg此前强大的防御系统Anubis，导致服务严重中断，并凸显了对在线社区日益增长的威胁。

Anubis被设计为一种“焦油坑”（tarpit），功能类似于工作量证明代理，要求传入连接在授予访问权限之前执行密集的计算挑战。该机制旨在阻止恶意AI爬虫，并减少持续手动列入黑名单的需求，有效地保护了Codeberg的基础设施数月。然而，在一个令人担忧的进展中，Codeberg的志愿者工作人员最近通过Mastodon报告称，AI爬虫已“学会了如何解决Anubis的挑战”，使防御失效。考虑到Anubis最近的一个修复（提交e09d0226a628f04b1d80fd83bee777894a45cd02）解决了复杂攻击者可以通过提供零难度来绕过工作量证明的漏洞，这种绕过尤其令人担忧。这种机器人流量的巨大数量实际上已发起了拒绝服务（DoS）攻击，导致平台“极端缓慢”。Codeberg还指出，一些攻击性机器人似乎源自中国电信公司华为控制的网络。

Codeberg事件绝非孤立；它强调了开源项目乃至整个互联网面临的普遍且不断升级的挑战。报告显示，2024年“不良机器人”占所有机器人流量的惊人71%，比2023年的63%显著增加。这一激增的很大一部分归因于AI驱动的“灰色机器人”，它们在未经明确许可的情况下不加选择地抓取数据以训练大型语言模型（LLM），给托管服务提供商和志愿者运营的社区带来了巨大且往往无偿的负担。这种无情的抓取不仅增加了带宽和托管成本，还降低了合法用户的服务质量，迫使一些平台阻止整个国家或实施自己的“AI迷宫”以应对洪流。

这种不受限制的AI活动的伦理影响正成为科技界日益增长的争议点。软件自由保护协会的政策研究员布拉德利·M·库恩公开谴责这些行为，称其为“对我们社区中最善良、最乐于奉献的人的DDoS攻击”。他声称，部署机器人进行LLM训练的公司应对其“对越来越多的训练数据的贪得无厌”负责。批评者认为，许多AI公司目前的商业模式在没有这种免费数据访问的情况下是不可持续的，主张加强法规，以确保公平补偿和遵守既定的互联网协议。不断发展的AI防御与日益复杂的机器人（现在能够自主生成漏洞和进行高级网络钓鱼）之间的军备竞赛，标志着数字安全和开源生态系统可持续性的关键时刻。Codeberg对“Iocaine”等替代防御措施的探索，凸显了在这种不断演变威胁环境下对新战略的迫切需求。