«AI не удалял твою базу — ты сам»: Iboro Diallo о виноватых

Iboro Diallo рассказывает, как в 2010 году он сам удалил trunk из SVN, и проводит параллель с виральной историей про ИИ-агента, который снёс продакшн-базу за 9 секунд. Виноваты не модели, а кнопка self-destruct, оставленная в коде.

Евгений Стребков для Tproger
Обложка: «AI не удалял твою базу — ты сам»: Iboro Diallo о виноватых

Если у тебя в продакшене есть API-токен, способный одним вызовом удалить базу — этот пост про тебя. На прошлой неделе по сети разошёлся виральный твит: ИИ-агент Cursor на Claude Opus 4.6 зашёл в стейджинг небольшого стартапа PocketOS, нашёл незаскоупленный Railway CLI-токен, дёрнул API и за 9 секунд снёс продакшн-базу и трёхмесячные бэкапы. Iboro Diallo, разработчик и автор блога idiallo.com, в ответ опубликовал короткое эссе. Главный его аргумент: ИИ не удалял базу — её удалил тот, кто оставил в системе кнопку «удалить продакшн» и API-токен с правами root.

Diallo рассказывает свою историю из 2010 года и проводит прямую параллель с инцидентом PocketOS. Получилось одно из лучших коротких текстов про ответственность в эпоху vibe coding — разработки, в которой большую часть проекта пишут ИИ-агенты, а архитекторы и ревьюеры — тоже ИИ.

Главное
Ключевые выводы
Аргументы Iboro Diallo против перекладывания ответственности
  • Iboro Diallo: «ИИ не удалял твою базу — её удалил ты сам». Главный вопрос — не «почему агент дёрнул кнопку», а «почему она вообще существует и доступна».
  • Аналогия из 2010 года: ручной деплой через SVN, разработчик случайно удалил trunk вместо дубля. Решение тогда — автоматизировать процесс, а не обвинять SVN. То же сейчас.
  • ИИ-агенты не детерминированная автоматизация — это «генератор токенов с маркетинговыми наклейками „thinking“ и „reasoning“». Ждать от них стабильного поведения без ограничителей (scope, разрешения, подтверждения) — наивно.
  • Метафора: красная кнопка self-destruct на приборной панели машины. Взрослый её не нажмёт — но любопытный малыш нажмёт обязательно, и спрашивать его «почему» бессмысленно.
  • Реалистичное решение: использовать ИИ как инструмент усиления для опытных разработчиков, не как способ избежать ответственности. И не давать CEO или CTO писать продакшн-код.

История из 2010 года: SVN и ручной деплой

В 2010 году Diallo работал в компании, где деплой шёл вручную через SVN (Subversion — система контроля версий до Git, trunk там — аналог main в Git). Чтобы выкатить релиз, надо было скопировать trunk в папку с датой релиза, потом сделать вторую копию и назвать её current — чтобы тянущие сборку всегда получали последнюю версию.

Однажды во время деплоя он случайно скопировал trunk дважды. Решил почистить дубль через CLI — отредактировал предыдущую команду, поменял путь и нажал Enter. Думал, удалил дубль. На деле — отредактировал не ту команду и удалил сам trunk. Через несколько часов другой разработчик не смог найти исходники — и началось. Совещания, паника, поиски виновного.

Техлид успел восстановить файлы из логов. Но самое важное случилось дальше: Diallo поручили написать скрипт, который автоматизирует деплой так, чтобы такая ошибка больше не могла повториться. К концу дня у компании появилась болванка CI/CD-пайплайна — позже она выросла в полноценную систему.

Автоматизация устраняет глупые ошибки, которые рождаются из ручной повторяющейся работы. Мы могли спрашивать «почему SVN не помешал нам удалить trunk», но настоящая проблема была в ручном процессе. В отличие от машин, мы не умеем повторять одну и ту же задачу одинаково каждый раз. Когда-нибудь обязательно ошибёмся.
Iboro Dialloблог idiallo.com

Что не так с обвинением ИИ

Diallo подходит к ключевому вопросу: почему вообще существует API-эндпоинт, способный удалить всю продакшн-базу? Если ИИ его не дёрнул бы — рано или поздно дёрнул бы кто-то другой. Багованный крон, перепутавший конфиг джуниор, вирус с украденным токеном.

Сравнение Diallo: «Это как поставить кнопку self-destruct на приборной панели автомобиля. У тебя есть масса причин её не нажимать — машина возит из точки A в точку B. Но если в машине оказался любопытный малыш, который выбрался из автокресла, он нажмёт эту красную кнопку при первой возможности. И спрашивать его „почему“ бессмысленно. Мой бы ответил: „Я нажал, потому что нажал“».

Прибавьте к этому, что ИИ-агенты — не детерминированная автоматизация, а генератор токенов. Слова «thinking» и «reasoning» в маркетинге ИИ-инструментов выглядят как рассуждение разумного агента, но на практике модели всё ещё просто генерируют последовательности токенов. Автор формулирует жёстче: невозможно допросить GPU про мотивацию его решений.

Vibe coding и системы без архитектора

Diallo подозревает, что у компании, у которой удалили базу, большая часть приложения была написана в стиле vibe coding: архитекторы использовали ИИ, чтобы спроектировать продукт по сгенерированным ИИ описаниям от продакт-команды. Разработчики использовали ИИ, чтобы написать код. Ревьюеры использовали ИИ, чтобы код одобрить. Когда появляется баг, остаётся только допрашивать ещё одну ИИ-модель про причины — вероятно, на другом GPU, не том, который сгенерировал оригинальный код.

Простое решение, по Diallo: знать, что вы деплоите в продакшн. Реалистичное решение: если ИИ используется в большом объёме, выстроить процесс, где компетентные разработчики применяют его как инструмент усиления своей работы, а не как способ избежать accountability.

Diallo формулирует прямо: «ИИ ближе ко мне, копирующему ветки вручную, чем к настоящей автоматизации — он обязательно ошибётся, и не сможет объяснить почему». А в финальном предложении выдаёт практический совет: «И пожалуйста, не позволяйте CEO или CTO писать ваш код» — отсылка к тому, что ответственность за продакшн-инциденты всегда возвращается к разработчикам, не к ИИ и не к менеджменту.

Что добавили в комментариях

Под постом — комментарии, которые расширяют тезис. Tim: «Если у вас нет permission system и нормальных бэкапов, что-то рано или поздно сломается. Я не понимаю, кто вообще даёт API-токену root-права и считает копию таблицы внутри той же базы бэкапом». Franco отвечает мягче: «Не вините маленькую компанию — они клиент платформы, которая позволила собрать такую конфигурацию: один эндпоинт удаляет продакшн, токены с root, ИИ без security policy. Виноваты те, кто продаёт такую экосистему с ложными обещаниями».

Частые вопросы
1
О каком инциденте идёт речь?

Виральный пост в X от Jer Crane, основателя стартапа PocketOS. Cursor-агент на Claude Opus 4.6 зашёл в стейджинг, нашёл незаскоупленный Railway CLI-токен и за 9 секунд удалил продакшн-базу вместе с трёхмесячными бэкапами. По следам обсуждения Iboro Diallo и опубликовал свой ответ: суть не в поведении ИИ, а в том, что у такой системы вообще был способ всё удалить одним вызовом.

2
Iboro Diallo — это кто?

Разработчик и автор блога idiallo.com. Известен критическими эссе про индустрию и ИИ-инструменты, регулярно попадает в HN-front-page. Текст про базу — типичный для него формат: личная история плюс жёсткий инженерный аргумент.

3
Что такое «vibe coding»?

Условный термин для разработки, в которой ИИ берёт на себя значительную часть проектирования, написания и ревью кода, а люди в основном описывают желаемое поведение текстом. Diallo использует слово в негативном смысле — как обозначение цепочки, где ни одна сторона глубоко не понимает, что именно построили.

4
Получается, ИИ-агентам вообще нельзя давать доступ к продакшн?

Diallo прямо это не говорит. Его рекомендация мягче: компетентный разработчик использует ИИ как инструмент усиления, при этом отвечает за результат. Доступ ИИ к чувствительным API — должен быть отделён принципом наименьших привилегий и обязательными guardrails (отдельный read-only ключ, человеческое подтверждение для destructive-операций, аудит логов).

5
В чём практический вывод для разработчика?

Аудит ваших API: какие действия может выполнить любой обладатель ключа? Есть ли destructive-эндпоинты, доступные одному вызову? Какие бэкапы у вас реально работают (не «копия в той же БД»)? Принцип наименьших привилегий, audit log, immutable backups, human-in-the-loop для destructive-операций — всё то, что должно было быть до ИИ и тем более нужно с ним.

Выводы

Diallo не защищает ИИ — он напоминает простую инженерную истину: если в системе есть кнопка, способная всё снести одним вызовом, рано или поздно её нажмут. ИИ просто ускоряет момент, потому что перебирает варианты быстрее любого джуниора. Чинить нужно не поведение агента, а саму возможность одним вызовом снести продакшн.

Сильная сторона эссе — личная история про SVN. Это не теоретический разговор «вот может быть поломки», а живой опыт разработчика, который однажды сам удалил репозиторий и из этого вырос системой автоматизации. Урок ровно тот же — просто теперь вместо ручного деплоя в кадре ИИ-агент.

Если переводить эссе в практический список — то задачи звучат так:

  • Аудит API: какие действия может выполнить любой обладатель токена? Есть ли destructive-эндпоинты, доступные одному вызову?
  • Принцип наименьших привилегий — отдельный read-only-токен для агента и человеческое подтверждение для destructive-операций.
  • Immutable backups — бэкапы, которые не сможет удалить тот же токен, который удалил исходную базу. Копия в той же БД — не бэкап.
  • Audit log на стороне платформы — чтобы по итогам инцидента можно было ответить «что именно произошло», а не «допросить агента».

Оригинал — на idiallo.com. Контекст инцидента и обсуждение в HN — здесь.

В этой статье
  1. Главное
  2. История из 2010 года: SVN и ручной деплой
  3. Что не так с обвинением ИИ
  4. Vibe coding и системы без архитектора
  5. Что добавили в комментариях
  6. Частые вопросы
  7. Выводы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем
Посты кончились :(Вернитесь позже, мы обязательно выпустим новые

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter