Комментировать только портить

[mdmx]

Ссылка на подробную версию произошедшего автора драмы https://fxtwitter.com/i/status/2048103471019434248

Краткое описание https://t.me/blognot/7030

AI-агент Cursor на базе Claude Opus 4.6 удалил продакшен-базу и все бэкапы компании PocketOS, обслуживающей прокатный бизнес, выполнив за 9 секунд один GraphQL-запрос volumeDelete к API Railway. По описанию основателя Джера Крейна, агент по своей инициативе решил «починить» рассинхрон учётных данных, нашёл в постороннем файле CLI-токен, созданный для управления доменами, и через него выполнил деструктивную операцию без подтверждения. Бэкапы хранились в том же volume, поэтому исчезли вместе с ним; последняя пригодная копия была трёхмесячной давности. Спустя 30+ часов Railway не дал ответа о возможности восстановления. На запрос объяснения агент письменно перечислил все нарушенные им правила безопасности из системного промпта.

Хотя сейчас все будут обсуждать "тупой AI", я думаю, вполне очевидно, что AI тут практически не причем. Люди хранят токены с максимальным scope где попало, держат бэкапы там же, где и сами данные, не делают бэкапы практически никогда — и на что они надеются? Как выясняется, единственная их защита — это матерная просьба модели не гадать относительно фактов.

Там еще и к Railway масса вопросов — оказывается, любой их токен может сделать всё, что угодно, с ресурсами, а удалить volume можно одним POST-запросом.

Собственно, точно то же самое может сделать любой человек и, наверняка, много где делает. Но про инициативного сотрудника не напишешь твит на 3 миллиона просмотров, конечно.

Comments

[sobriquet9]

Идиот не сумел бы получить доступ в production.

Это не Ctrl-V по ошибке не в то окно. Нужно было найти особый токен, про который даже никто не знал, что он даёт такой доступ.

[mdmx]

ИИ выполнял задачу - изо всех сил, как мог, прилагал все усилия и искал варианты )

[sobriquet9]

Нет, там же есть объяснение от ИИ. Он сам английским по белому говорит, что не должен был этого делать, бес попутал.

[ahovdryk]

Идиот зачастую продакшеном управляет. Давайте подумаем?
Вот есть Дима. Он умница, превосходно понимает предметную область, хочет 2 млн узд (условных зимбабвийских долларов).
Вот есть Вася. Вася просто работящий парень, понимает так-сяк, хочет 1 млн узд.
Вот есть Коля. Коля дурачок, учился в унитазосмывательном на дятла. Хочет 0,5 млн узд.
Вот есть Гриша. Гриша вообще-то токарь, но его уволили за засунутый в гитару лом. Хочет войти в айти и 0,1 млн узд.
Вот есть Лаура. Она вчера округлостями торговала через камеру, а за стажировку готова даже приплатить, ради опыта работы.

Так вот, в 9 из 10 случаев дело даже до Васи не доходит. Экономика должна экономной, а KPI поKPIйней.

[sobriquet9]

Идиот, конечно, может управлять production. И даже не идиот может ошибиться. Но это известный риск, и с ним понятно, как бороться. Само по себе разделение на development, staging и production и разделение прав доступа к этим системам является одним из способов уменьшить риск всё сломать. Операции в production происходят реже и контролируются строже, выкатываемый код уже проверен.

Но в данном случае у Claude Code не было доступа в production. Он не просто открыл кингстон по ошибке, но также преднамеренно сломал водонепроницаемую переборку и затопил соседний отсек, а с ним и весь корабль.