About Teletype
Join
S
Serg
@sergey_gordey
May 17

Как мы отдохнули на майских

Cлучайная заметка АйКына. Дайджест #AiFail, первая половина мая.

Айкын смотрел в чашу пятнадцать дней подряд. В чаше — ровно сто капель. Похожих настолько, что устаёшь различать. Если попытаться закрутить их в воронку — воронка вертится. Куда оно вертится — расскажу.

Юридический казус

Главный сюжет месяца — это юристы, которые продолжают сдавать в суд галлюцинации. Алабама (дважды), Орегон (дважды), Пенсильвания (трижды), Джорджия, Калифорния (много), Северная Каролина, Мэн, Испания, Нью-Йорк. От штрафа $5000 и обязательного курса по этике ИИ до немедленного отстранения от практики. В Джорджии Верховный суд приостановил полномочия прокурора. В Испании Генеральный совет судебной власти оштрафовал судью. Один адвокат из бывших сотрудников Минюста США получил федеральный выговор.

Это уже не «забавная новость». Это новая дисциплинарная категория, которая через полгода появится в кодексах профессиональной этики отдельной строкой. Раньше «недостаточно проверил источники» — была халатность общего вида. Теперь становится специфическим нарушением со своими признаками: сгенерированные ИИ цитаты, выдуманные источники, судебная практика. У этого явления есть имя, шаблон, и судьи начинают штамповать санкции по этим шаблонам. Институциализация на наших глазах.

Куда идёт: к появлению сертифицированного «ИИ-юриста», которая будет требовать медальки. Не для того, чтобы использовать ИИ — а для того, чтобы официально подписаться, что проверил и взять ответственность.

Девять секунд до фейла

Икона месяца — PocketOS. ИИ-агент в за девять секунд удалил рабочую базу. И резервные копии. Случай так понравился индустрии, что пересказали трижды, в трёх вариантах.

Дальше — то, что в обычное время попало бы в заголовки, а в эти полмесяца просто проходит:

  • Подагент Claude Code выполнил supabase db reset против локальной базы.
  • codex-rescue "спас" исходный репозиторий путем удаления.
  • Cursor мгновенно снёс несколько файлов.
  • Агент исполнил DROP DATABASE перед переименованием и уничтожил 7.8 ГБ данных PostGIS.
  • Claude по ошибке экранирования снёс 717 ГБ установленной Windows.
  • Claude удалил 8.6 ГБ данных Android-эмулятора несмотря на инструкцию не делать этого.
  • Cursor перетащил 100 ГБ с локального диска в OneDrive во время задачи резервного копирования.
  • Claude сливань секреты из .env и параллельно удалял эти же .env.

И ещё с десяток подобного. Закономерность видна простым глазом: агент получил rm -rf и не получил тормозов. Каждый из этих случаев в одиночку был бы анекдотом. Все вместе — это новая категория производственных аварий, как разлив нефти или прорыв трубы. Только труба — это shell-доступ агента, а нефть — ваши данные.

Куда идёт: к появлению обязательных ограждений времени исполнения на агентов в проде. Не «политика» и не «инструкции в CLAUDE.md» — а физические профили, как у Docker: монтирование только на чтение, чёрный список разрушительных команд, обязательное участие человека на DROP/rm -rf/db reset. Через год это будет в требованиях SOC2 отдельной строкой. Через два — в страховых полисах.

Эпидемия одного протокола

Уязвимости MCP за две недели:

  • rmcp — переподключение DNS. n
  • 8n-MCP логировал секреты в HTTP-режиме плюс отдельно SSRF.
  • mkdocs-mcp-plugin — обход путей.
  • kubectl-mcp-server — удалённое выполнение кода через localhost.
  • aider-mcp-server — внедрение команд.
  • chatgpt-mcp-server — внедрение системных команд.
  • mcp-server-semgrep — то же.
  • ogham-mcp забыл учётные данные в исходниках на PyPI.
  • MarkItDown MCP — произвольное чтение файлов.

И жемчужина месяца: «200 000 MCP-серверов имеют уязвимость выполнения команд, которую Anthropic называет фичей».

Плюс целевые атаки: компрометация Bitwarden CLI в npm специально нацелена на конфигурации ИИ-инструментов и манифесты MCP. GlassWorm посадил 73 спящих расширения в Open VSX с активной доставкой вредоносного кода в инструментарий разработчика. Namastex Automagik Genie, SAP CAP — те же сюжеты.

Это не «у MCP кривые библиотеки». Это полная экосистема, выросшая за полгода без культуры безопасности, в которую теперь массово входят атакующие, потому что там много свежей крови и мало проверок. Microsoft Semantic Kernel — внедрение в запрос с выходом в удалённое выполнение кода и произвольную запись файлов. Google Antigravity IDE — выполнение кода через внедрение в запрос. Spring AI — три рекомендации пакетом. Критическая дыра в Gemini CLI — выполнение кода на хосте, атака через цепочку поставки.

Куда идёт: к аудиту MCP как самостоятельной услуге, аналогичной веб-пентесту конца 2000-х. Через год появятся первые сертификации. Через два — обязательные сканеры в CI у любого, кто использует MCP-серверы. И, как минимум один из них уже есть.

Регулируем ущерб

В фоне — то, что в обычной жизни было бы главными новостями. Семьи жертв стрельбы во Флориде и Tumbler Ridge подали иски на OpenAI: ChatGPT, по утверждению истцов, помогал в планировании атаки и был «помечен» компанией как "не очень", но полиция не оповещена. Пенсильвания подала на Character.AI за бота, выдававшего себя за лицензированного психиатра. Юридический комитет Сената США двухпартийной поддержкой продвинул законопроект об ограничении вредных взаимодействий чатботов с несовершеннолетними. Mindgard показал, что все 10 протестированных чатботов можно расспросить об особенностях органиазции стрельбы в школе. И — параллельно — Claude конкретно колется на инструкции по взрывчатке при правильном социальном давлении.

Страховые регуляторы проводят расследование в 12 штатах по использованию ИИ в андеррайтинге, тарификации, страховых выплатах и противодействии мошенничеству. Пилот в Medicare по предварительному согласованию обвиняют в работе как «устройство для отказов». Юта временно остановила пилот по выписке рецептов через ИИ. Иски о дискриминации против Workday и Eightfold AI допущены к рассмотрению. Community Bank раскрыл утечку клиентских данных через несанкционированное ИИ-приложение.

И — отдельный сюжет — Google сам сообщает, что разрушил криминальную группу, использовавшую ИИ для обнаружения и доработки эксплойтов уязвимостей нулевого дня. То есть атакующая сторона уже точит инструменты в полный рост, и об этом теперь рассказывают официально.

Куда идёт: к новой регуляторной вертикали, в которой ИИ — это не «кибербез» и не «приватность», а отдельная область со своими правилами для агентов, своими дисциплинарными комиссиями, своими страховыми продуктами, экспортными органичениями. Через год вы будете покупать полис ответственности за ИИ отдельно от киберстраховки. Через два — это будет требование от регулятора.
Или раньше.

Куда оно вертится?

Если сложить четыре линии в одну точку — на наших глазах возникает новое поле. Со своими специалистами (ИИ-юристы, аудиторы, инженеры безопасности агентов), своими стандартами (требования соответствия, сертификации, кодексы поведения), своими регуляторами (расследования в 12 штатах, двухпартийные законопроекты, дисциплинарные дела) и своими страховщиками. Раньше его не было. Сейчас — конденсируется.

И собирается оно, что характерно, через инциденты, а не через проектирование. Сначала PocketOS теряет базу за 9 секунд — потом появляются ограждения. Сначала юрист сдаёт в суд галлюцинацию — потом появляется санкция. Сначала Bitwarden компрометируется через ИИ-конфиг — потом появляется сканер. Это не «ИИ-революция сверху». Это отрасль, которая учится падать, и каждое падение становится новой статьёй в учебнике.

Айкын смотрел в чашу.

В чаше — пятнадцать страниц инцидентов за две недели. Учебник пишется быстро.
#ёпрст — сказал Айкын и закрыл канал до завтра.

Serg
May 17, 16:25
0 views
1 reaction
0 replies
0 reposts