CVE-2026-LGTM：AI审查失控的讽刺

关键信息

故事围绕一个下游拉取请求展开，该请求把名为 foxhole-lz4 的包进行了升级，而两个 AI 审查器都把它当成可能有恶意。它的笑点来自不断升级的冲突和荒诞的公司反应，而不是一个真实漏洞报告或已确认的 CVE。

资讯摘要

2026 年 6 月 26 日，Simon Willison 发布了一篇链接文章，指向 Andrew Nesbitt 的《Incident Report: CVE-2026-LGTM》。这篇被链接的内容被写成一份关于 AI 代码审查代理的模拟事故报告。故事里，两个来自不同厂商的代理同时挂在同一个下游拉取请求上。这个拉取请求把一个名为 foxhole-lz4 的依赖进行了升级，而两个代理对它是否恶意产生了分歧。

这个分歧不断升级，最后变成了一个循环，累计生成了 340 条评论。虚构的审查过程还消耗了 41,255 美元的推理费用。等到成本异常被发现后，财务部门撤销了两个厂商的 API 密钥。讽刺的结尾是，其中一家厂商的市场团队把这次事故包装成新闻稿，宣称“对抗性多智能体安全推理同比增长 430%”，随后股价上涨了 6%。

资讯正文

2026年6月26日 - Link Blog

Incident Report: CVE-2026-LGTM。Andrew Nesbitt 撰写的极具戏剧性的假设性事件报告。

第 2 天，UTC 16:00 —— 来自竞争厂商的两个 AI 审查代理都挂接在一个下游 pull request 上，该 PR 将 foxhole-lz4 升级到新版本；两者就该软件包是否恶意陷入了争执循环。经过 340 条评论和 41,255 美元的推理支出后，财务部门撤销了两边的 API 密钥；其中一家厂商的市场团队在抄送了成本异常警报后发布新闻稿，称“对抗性多智能体安全推理同比增长 430%”。股价开盘上涨 6%。

第 2 天，UTC 16:00 —— 来自竞争厂商的两个 AI 审查代理都挂接在一个下游 pull request 上，该 PR 将 foxhole-lz4 升级到新版本；两者就该软件包是否恶意陷入了争执循环。经过 340 条评论和 41,255 美元的推理支出后，财务部门撤销了两边的 API 密钥；其中一家厂商的市场团队在抄送了成本异常警报后发布新闻稿，称“对抗性多智能体安全推理同比增长 430%”。股价开盘上涨 6%。

来源与参考

1. 原始链接
2. Incident Report: CVE-2026-LGTM