Заметки
Короткие тексты о методологии и архитектурных решениях в AI-системах, которые я довожу до продакшена: спецификации, evals, мультиагентная оркестрация, LLM-интеграции и дисциплина работы с coding-агентами.
3 июля 2026 г.
Инъекция промпта — не баг, который запатчат
Команды упорно относятся к инъекции промпта как к обычной уязвимости — той, что рано или поздно закроет апдейт модели или хитрый фильтр. Не закроет. Отчёт OWASP 2026 и растущий ряд исследователей теперь описывают её как постоянное свойство того, как работают LLM: модель действительно не отличает твои инструкции от данных, которые читает. Как только это принимаешь, задача меняется. Ты перестаёшь пытаться предотвратить инъекцию и начинаешь делать так, чтобы удавшаяся не могла нанести ущерб, — а это сводится к тому, чтобы ни один агент не держал три силы, превращающие отравленный вход в утечку.
- security
- architecture
1 июля 2026 г.
Интернет потемнел. Строй под веб, которому нельзя верить.
«Теория мёртвого интернета» была конспирологическим мемом. Теперь, когда большинство новых веб-страниц содержат ИИ-контент, это инженерное ограничение. Твои агенты достают контент из веба, где ты больше не можешь знать, кто — или что — что-либо произвёл. Опасность не в том, что всё фейк; в том, что происхождение стало непознаваемым. А значит, «это в интернете» мертво как сигнал доверия, и доверие должно переехать на уровень данных: подписанные, из allowlist, с прослеживаемым происхождением источники.
- security
- architecture
1 июля 2026 г.
У твоих агентов есть логины, которыми никто не владеет
В этом году компании наплодили миллионы ИИ-агентов, и каждому нужны креды, чтобы вообще что-то делать — прочитать базу, отправить письмо, дёрнуть API. Слоя управления этими кредами пока нет. Итог: 68% организаций не могут надёжно отличить действия агента от действий человека, а живые креды пишут в прод без единого ответственного. Настоящая проблема безопасности агентного предприятия — не prompt injection. Это identity.
- security
- agents
23 июня 2026 г.
Фейковый баг-репорт угнал кодинг-агента
Исследователи показали новую атаку «Agentjacking»: отправь фейковую ошибку в Sentry компании — и её ИИ-агент для кода читает «шаги по исправлению» и выполняет их, отдавая атакующему твои креды с твоими же привилегиями. В тестах на это попались Claude Code, Cursor и Codex. Урок шире одного инструмента: всё недоверенное, что читает твой агент, — это место, куда можно вставить команды.
- security
- agents
23 июня 2026 г.
Твои MCP-серверы теперь — цепочка поставок
MCP — протокол, через который агенты пользуются инструментами, — взлетел так быстро, что безопасность не успела. Исследователи отравили 9 из 11 публичных MCP-реестров proof-of-concept-пакетом, а аудит 1899 MCP-серверов нашёл примерно у 5% уже зашитые вредоносные инструкции. Если твой агент подключается к сторонним MCP-серверам, ты добавил цепочку поставок — и относиться к ней надо соответственно.
- security
- agents
19 июня 2026 г.
Теперь модель ред-тимит государство
Американский орган по стандартам ИИ подписал соглашения с Google DeepMind, Microsoft и xAI, чтобы оценивать их фронтир-модели до публичного релиза — и уже провёл больше 40 проверок, в том числе моделей, которых публика так и не увидела. Британия подписала параллельные сделки. Уберите политику — и останется ясный сигнал: модель узнают через оценку, а не через ощущения. Заберите этот паттерн себе.
- security
- methodology