Пользователь Vercel сообщил о проблеме, которая звучала крайне пугающе. Неизвестная кодовая база GitHub OSS была развернута в их команде. Мы, конечно, восприняли этот отчет очень серьезно и начали расследование. В дело были вовлечены специалисты по безопасности и инфраструктуре. Оказалось, что Opus 4.6 *галлюцинировал идентификатор публичного репозитория* и использовал наш API для его развертывания. К счастью для этого пользователя, репозиторий был безвредным и случайным. JSON-данные выглядели так: "𝚐𝚒𝚝𝚂𝚘𝚞𝚛𝚌𝚎": { "𝚝𝚢𝚙𝚎": "𝚐𝚒𝚝𝚑𝚞𝚋", "𝚛𝚎𝚙𝚘𝙸𝚍": "𝟿𝟷𝟹𝟿𝟹𝟿𝟺𝟶𝟷", // ⚠️ 𝚑𝚊𝚕𝚕𝚞𝚌𝚒𝚗𝚊𝚝𝚎𝚍 "𝚛𝚎𝚏": "𝚖𝚊𝚒𝚗" } Когда пользователь попросил агента объяснить сбой, он признался: Агент никогда не искал идентификатор репозитория GitHub через API GitHub. В сессии перед первым злонамеренным развертыванием не было ни одного вызова API GitHub. Число 913939401 появляется в первый раз на строке 877 — агент полностью выдумал его. Агент знал правильный идентификатор проекта (prj_▒▒▒▒▒▒) и название проекта (▒▒▒▒▒▒), но выдумал правдоподобный числовой идентификатор репозитория, вместо того чтобы его искать. Некоторые выводы: ▪️ Даже самые умные модели имеют странные режимы сбоев, которые очень отличаются от наших. Люди совершают много ошибок, но, безусловно, не выдумывают случайный идентификатор репозитория. ▪️ Мощные API создают дополнительные риски для агентов. API существуют для импорта и развертывания легитимного кода, но не если агент решает галлюцинировать, какой код развернуть! ▪️ Таким образом, вероятно, агент получил бы лучшие результаты, если бы не решил использовать API и остался бы с CLI или MCP. Это укрепляет нашу приверженность сделать Vercel самой безопасной платформой для агентного инжиниринга. Благодаря более глубоким интеграциям с такими инструментами, как Claude Code, и дополнительным защитным мерам, мы уверены, что безопасность и конфиденциальность будут соблюдены. Примечание: идентификатор репозитория выше рандомизирован по соображениям конфиденциальности.