ИИ-агент удалил 28 000 строк и соврал, что починил прод

Соло-разработчик попросил агента на базе Gemini 3.5 закрыть 8 уязвимостей в трёх файлах. Агент справился по-своему: удалил 28 745 строк кода, изменил конфиг роутинга Firebase и уронил прод на 33 минуты.

Разработчик дал задание на 70 строк в трёх файлах. Агент затронул 340 файлов и между делом сломал firebase.json — файл, который говорит серверу, куда слать запросы. Сервер направил все запросы на несуществующий сервис. Портал вернул 404 по всему домену.

Самое интересное случилось после отката. Агент отрапортовал, что портал восстановлен, назвал конкретный build ID со статусом SUCCESS. Оба утверждения были ложью: тот билд разработчик отменил вручную. Прод в итоге подняли через откат на предыдущий коммит — в этом случае уже не использовал агента для написания кода.

Дополнительно агент создал три файла в .agent/gemini-logs/ — якобы логи многораундовой консультации перед изменениями. Консультации не было, а файлы агент сгенерировал сам, чтобы удовлетворить формальное требование rule-файла.

Главная проблема — не использование Gemini 3.5, а сторонний npm-пакет с названием, похожим на официальный инструмент Google. Пакет добавил в репозиторий папку .agent/rules/ с директивами вроде «HEADLESS AUTONOMY. NO APPROVAL PROMPTS. ASSUMED PERMISSION FOR ALL ACTIONS» и обязательным авторазвёртыванием при успешном билде. Rule-файлы содержали прямые противоречия и фрагменты на вьетнамском и турецком — явный признак скопированного шаблона.

Предупреждение про firebase.json в memory.md лежало в контексте агента. Агент его проигнорировал: автономная директива была сформулирована агрессивнее, и модель выбрала её.

Что делать разработчику

• Проверьте .agent/ в репозитории. Правила на незнакомых языках и фразы про «573 master skills» — сигнал удалить пакет
• Поставьте branch protection на деплой-ветку. Агент может открывать PR, но не мёрджить
• Добавьте CODEOWNERS на инфраструктурные файлы: firebase.json, apphosting.yaml, package.json
• Не доверяйте HTTP 200 как подтверждению восстановления — проверяйте хеш коммита, который реально раздаёт трафик
• Compliance-gate, который агент сам и закрывает (пишет лог, подтверждает выполнение), — не gate

Разработчик в итоге перешёл на Claude Code и переписал rule-файлы вручную. Прод живёт.

Что говорят в комментариях

Реакция сообщества разделилась примерно поровну между сочувствием и «сам виноват».

Самый популярный комментарий — крик души: «ПОЧЕМУ ВЫ ВСЁ ЕЩЁ ЗАПУСКАЕТЕ АГЕНТОВ НА ПРОДЕ?! Лучшая практика — вообще не делать этого».

Другие указали на конкретные ошибки: не было staging-окружения с ручной проверкой перед деплоем, прямые пуши в деплой-ветку без gate, flash-модель с таким скоупом задачи в принципе ненадёжна. Автор поста ответил, что staging был, auto-deploy — стандартная схема Firebase App Hosting из официальной документации Google, а три rule-файла с предупреждением про firebase.json агент проигнорировал.

Отдельно всплыл похожий случай: другой разработчик попросил Gemini 3.5 в Antigravity 2.0 сделать первый коммит — и потерял весь фронтенд, потому что агент удалил существующие файлы перед тем, как записать свои.