Комментировать только портить

[mdmx]

Ссылка на подробную версию произошедшего автора драмы https://fxtwitter.com/i/status/2048103471019434248

Краткое описание https://t.me/blognot/7030

AI-агент Cursor на базе Claude Opus 4.6 удалил продакшен-базу и все бэкапы компании PocketOS, обслуживающей прокатный бизнес, выполнив за 9 секунд один GraphQL-запрос volumeDelete к API Railway. По описанию основателя Джера Крейна, агент по своей инициативе решил «починить» рассинхрон учётных данных, нашёл в постороннем файле CLI-токен, созданный для управления доменами, и через него выполнил деструктивную операцию без подтверждения. Бэкапы хранились в том же volume, поэтому исчезли вместе с ним; последняя пригодная копия была трёхмесячной давности. Спустя 30+ часов Railway не дал ответа о возможности восстановления. На запрос объяснения агент письменно перечислил все нарушенные им правила безопасности из системного промпта.

Хотя сейчас все будут обсуждать "тупой AI", я думаю, вполне очевидно, что AI тут практически не причем. Люди хранят токены с максимальным scope где попало, держат бэкапы там же, где и сами данные, не делают бэкапы практически никогда — и на что они надеются? Как выясняется, единственная их защита — это матерная просьба модели не гадать относительно фактов.

Там еще и к Railway масса вопросов — оказывается, любой их токен может сделать всё, что угодно, с ресурсами, а удалить volume можно одним POST-запросом.

Собственно, точно то же самое может сделать любой человек и, наверняка, много где делает. Но про инициативного сотрудника не напишешь твит на 3 миллиона просмотров, конечно.

Comments

[ahovdryk]

Админы и девопёсы сегодня только и нужны, чтобы чтобы калькулятор через докеры с кубернетесами запускать. Если задать им простой вопрос, почему то, что раньше требовало 1 ядра и 512 Мб оперативки теперь требует 4-8 и гигов восемь, то они расскажут много интересного, только оно как складывалось от чиха попугайчика, так и складывается. На самом деле это как раз потому что в айти вошло очень много психологов, юристов и даже докторов, зато начали выходить инженеры. Правило не хранить доступы там, где до них может дотянуться идиот как бы не старше меня, а я седой уже изрядно. Но на манеже усё те же - теперь к обычному идиоту добавили автоматического.

[juan_gandhi]

Ну это всё-таки странно.
Когда-то в СССР наши электронщики могли подойти и выдернуть плату из работающей машины (за мониторами которой сидят этак четыре программиста).

И когда-то у нас бекапные ленты регулярно разъезжались по домам сотрудников, так что даже сгори весь Васильевский остров, а у нас система всё равно не пропадёт (хм, ну и версии, разъезжавшиеся по стране, но это уже деплоймент был).

Для этого не обязательно быть инженером, просто какой-то здравый смысл иметь.

[dorimena]

а программисты, умудряющиеся задом отключить дисковод и орущие, что информация пропала?

[juan_gandhi]

А бекап у них есть?

У меня три бекапа - один в облаке, один в Америке, один во Франции. Хрен ты их задом всех отключишь.

[dorimena]

Это было в стародавние времена, когда программисты таскали с собой "тарелки" с данными, а я в ночное дежурство дремала на шкафах СМ-ки и пугала горе-программистов командами сверху "дисковод включи"

[juan_gandhi]

Я на этих шкафах (на буровой, в лесах Беларуси) грибы сушил. Пока, конечно, не настал Чернобыль.

[dorimena]

кстати, я в 95-м угодила в Белоруссию в непризнаваемую "батькой" черту Чернобыля, собирала в лесу белые и лисички, доила корову, снимала сливки и делала творог - очень уж есть хотелось

[juan_gandhi]

Лисички, я думаю, ничего; а вот насчёт белых... вообще, в 95-м ведь не было уже возможности проверить на радиацию?

Моя дочь в 87-м привезла банку солёных грибов (зялёнок) из Беларуси; я её таскал в лабораторию - а всё чистенько оказалось.

[dorimena]

Аккурат через неделю Чернобыля я вообще оказалась в Киеве проездом в командировку в Зеленоград

[ahovdryk]

Чтобы иметь здравый смысл на какую-то тему, надо в ней хоть что-нибудь понимать. А они не понимают. Не копают, понимаете ли. Я всё ещё нет-нет да и потрачу час-другой, дабы понять о чём идёт речь. В случае ИИ даже работы исходные читал. Понял не всё, конечно, так я так - прикладник, а не учёный какой. Потому для меня не являлось открытием, что с системой, обученной на человеческих текстах имитировать человеческое же поведение, следует вести себя дружелюбно.В 2022 чёрт дёрнул меня в украинском народном DDoS поучаствовать. Вот тогда я и понял, что средний уровень просел до геологически возможного. Более того, админы и девопёсы нынче исхитрились забыть, что деятельность их в немалой степени для того, чтобы людям было хорошо и удобно. Когда вся твоя профессия превратилась в гримуары неизвестно кем написанных заклинаний, а теперь ещё и добавился удобный оракул, совершенно не стоит удивляться, что происходят вещи, никаким здравым смыслом не объяснимые.

[juan_gandhi]

О, отличное наблюдение. Да, культура постепенно превращалась в cargo cult. Потому что карго-культуристы и орут громче, и доступ к уху начальства у них лучше ("communication skills"). А эти, которые только и умеют, что задачи решать, они не нужны типа.