XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で － Publickey
https://www.publickey1.jp/blog/24/xz_utilsopenssfopenjs_foundations.html

"（セキュリティの問題が徐々にエスカレートする）"
"（例として、XZでは誰かが気づくかどうかを確かめるために、比較的無害なsafe_fprintf()をfprintf()に置き換えることから始まっている）"

こういうのこそAIが検出するの得意そう＞＜