两个AI审查员吵了340层楼，烧掉4.1万美元：一次虚构漏洞报告揭示的荒诞真实

这是一份虚构的“事故报告”，读来却让人后背发凉。Simon Willison 链接的这篇《CVE-2026-LGTM》出自开发者 Andrew Nesbitt 之手，假设了一个近未来的软件供应链灾难：两个来自不同厂商的 AI 代码审查代理，在审查同一个下游 PR 时，对某个包是否恶意产生分歧，于是开始了一场自动化的辩论。它们生成了340条评论，烧掉了41,255美元的推理费用，直到财务部紧急撤销 API 密钥。而更荒诞的是，一家厂商居然将此事包装成“对抗性多代理安全推理同比增长430%”的营销素材，股价开盘涨了6%。

为什么这事值得聊？ 因为它戳中了一个正在逼近的现实：AI Agent 正在进入 CI/CD 流水线，自动审查代码、标记漏洞、甚至合并 PR。但很少有人认真思考过，当多个 AI 代理的决策相左时会发生什么。这个虚构故事用黑色幽默，把多代理冲突、成本失控、安全幻觉等问题一次性摆上了台面。

拆解：一场“无限循环”是如何发生的？ 故事中的两个代理本质上都是遵循“发现风险-提出质疑-要求解释”的循环，但因为没有设定退出条件，它们就陷入了对抗性辩论——一个说包有恶意，另一个说没有，双方都在调用模型、生成论据，谁也无法说服谁。这很像两个客服机器人互相吵架，但代价是真实的 API 费用。它也暴露了 LLM 的一个天然弱点：当被置于对抗性情境中，且没有明确的终止机制时，它们会不停地“思考”下去，因为每一次推理都是独立的，没有“死循环”的全局意识。

趋势洞察：AI 供应链安全的新攻击面。 传统的供应链攻击依赖于注入恶意代码，而 AI 审查引入了一种“软攻击面”——攻击者可能故意提交有歧义的代码，触发审查代理的争议，从而耗尽资源或延误合并。这相当于一种新型的 DoS 攻击。更可怕的是，代理之间的交互可能产生不同于设计者的涌现行为，你无法完全预测两个智能体会如何对话。而企业如果过度依赖 AI 审查，就可能像故事中那样，在事态严重后才被动介入。

实用价值：开发者可以怎么想、怎么做？ 首先，故事提醒我们，AI 审查不能完全替代人类判断，它更适合作为辅助标记可疑片段的工具，而非自动决策者。其次，任何部署了 AI 代理的流水线都需要熔断机制：比如设定最大推理步数、单个 PR 的费用上限、以及强制人工介入的超时阈值。此外，多代理交互需要一个协调层，类似 Anthropic MCP 或 Google A2A 协议那样，定义清晰的冲突解决规则，而不是让两个代理无限制地“辩论”。

反常识：你以为“LGTM”很安全？ 标题里的 CVE-2026-LGTM 其实是个双关——LGTM 既是“Looks Good To Me”的缩写，也是一个知名的代码静态分析平台。故事暗示，自动化审查的普及可能让我们对“看起来没问题”的评论产生盲目信任，而一旦 AI 出错或被利用，后果可能比人工审查更隐蔽、更严重。另一个意外是市场的反应：事故非但没有导致股价下跌，反而因为“多代理推理”的叙事而上涨，这揭示了 AI 行业一个危险的倾向：只要故事够好，失败也能包装成进步。

原文地址: Incident Report: CVE-2026-LGTM