'%3e%3cpath%20d='M13.1407%204.34375L9.12548%205.80383L6.93536%209.45402L4.38023%205.80383L0.365019%204.34375L5.11027%2011.6441L0%2019.6745H2.92015L6.57034%2013.8342L10.5856%2019.6745H13.5057L8.39544%2011.6441L13.1407%204.34375ZM17.1559%2012.0091C17.5209%2010.5491%2018.981%209.089%2020.8061%209.089C22.6312%209.089%2024.0913%2010.5491%2024.4563%2012.0091H17.1559ZM20.8061%206.89888C17.1559%206.89888%2014.2357%209.81904%2014.2357%2013.4692C14.2357%2017.4844%2017.1559%2020.0396%2020.8061%2020.0396C23.3612%2020.0396%2025.9164%2018.5795%2027.0114%2016.0244H24.0913C23.7262%2017.1194%2022.2662%2017.8495%2020.8061%2017.8495C18.616%2017.8495%2017.1559%2016.3894%2016.7909%2014.1993H27.0114C27.3764%2010.1841%2024.8213%206.89888%2020.8061%206.89888ZM40.8821%207.2639H37.597L32.1217%2012.7392V7.2639H29.5665V19.6745H32.1217V13.8342L38.327%2019.6745H41.6122L35.0418%2013.1042L40.8821%207.2639ZM48.5475%209.45402C50.0076%209.45402%2051.4677%2010.1841%2051.8327%2011.6441H54.3878C54.0228%208.72398%2051.4677%206.89888%2048.5475%206.89888C44.5323%206.89888%2041.9772%209.81904%2041.9772%2013.4692C41.9772%2017.1194%2044.5323%2020.0396%2048.1825%2020.0396C51.1027%2020.0396%2054.0228%2018.2145%2054.3878%2015.2943H51.8327C51.4677%2016.7544%2050.0076%2017.4844%2048.1825%2017.4844C45.9924%2017.4844%2044.5323%2016.0244%2044.5323%2013.4692C44.5323%2011.2791%2045.9924%209.45402%2048.5475%209.45402ZM58.403%2014.5643C58.038%2017.1194%2057.673%2017.4844%2056.2129%2017.4844H55.4829V20.0396H56.943C58.7681%2020.0396%2060.2281%2018.5795%2060.9582%2014.9293L61.6882%209.81904H66.0684V19.6745H68.6236V7.2639H59.4981L58.403%2014.5643ZM73.7338%2012.0091C74.4639%2010.5491%2075.5589%209.089%2077.7491%209.089C79.5742%209.089%2080.6692%2010.5491%2081.0342%2012.0091H73.7338ZM77.7491%206.89888C73.7338%206.89888%2071.1787%209.81904%2071.1787%2013.4692C71.1787%2017.4844%2073.7338%2020.0396%2077.7491%2020.0396C80.3042%2020.0396%2082.8593%2018.5795%2083.5894%2016.0244H81.0342C80.3042%2017.1194%2079.2091%2017.8495%2077.7491%2017.8495C75.5589%2017.8495%2074.0989%2016.3894%2073.7338%2014.1993H83.9544C84.3194%2010.1841%2081.7643%206.89888%2077.7491%206.89888ZM91.9848%207.2639H85.4145V9.81904H89.4297V19.6745H91.9848V9.81904H96V7.2639H91.9848Z'%20fill='%231D1D1B'%20/%3e%3cpath%20d='M13.1429%202.51607L6.93753%20-0.0390625L0.367188%202.51607L6.93753%204.70618L13.1429%202.51607Z'%20fill='%23136EF6'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_139_18360'%3e%3crect%20width='96'%20height='24'%20fill='%23fff'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Введение в разработку с ИИ
Теория: Безопасность при работе с coding agents
Агент умеет запускать команды, редактировать репозиторий, ходить в сеть и в некоторых случаях взаимодействовать с внешними системами. Из-за этого вопрос безопасности стоит сразу и остро. По умолчанию, агенты непрерывно спрашивают можно ли совершить то или иное действие, чем сильно раздражают, потому что невозможно отвлечься от экрана иначе все встает колом. Что с этим делать?
Почему агент вообще что-то спрашивает
Если смотреть на современный coding agent упрощенно, то внутри почти всегда есть три части. Первая - сама модель, которая пытается понять задачу и решить, какой следующий шаг логичен. Вторая - инструменты: чтение файлов, запись, shell-команды, git, сеть, браузер и так далее. Третья - прослойка между ними, которая решает, какие действия разрешены, какие запрещены, а какие нужно сначала подтвердить у человека.
Именно эта прослойка и создает знакомый всем опыт: агент постоянно спрашивает, можно ли прочитать какой-то путь, записать файл или запустить команду. Так устроена базовая защита: система пытается не дать языковой модели слишком легко превратить текстовое предположение в реальное действие над вашим проектом или машиной.
Важно увидеть в этом правильную логику. Проблема у агента не в том, что он иногда ошибается в ответах. Проблема в том, что он может уверенно ошибиться действием. Он может не только предложить команду rm -rf, но и реально попытаться ее выполнить. Интернет полон статей о том, как агенты уничтожали инфраструктуру и стирали данные из продакшен баз.
Проблема ожидания
Однако тут почти сразу появляется обратная сторона. Если агент спрашивает разрешение на каждом заметном шаге, работа начинает рассыпаться. Вы поручили ему исследовать проект, а он останавливается каждые 10 секунд: разрешить чтение, разрешить запись, разрешить еще одну команду, разрешить еще один вызов. Вместо ощущения ускорения возникает чувство, что вы стали оператором всплывающих окон.
Из-за этого многие пользователи довольно быстро приходят к соблазну: а давайте просто отключим лишние подтверждения, дадим агенту побольше прав и пусть уже работает как взрослый. На короткой дистанции это действительно выглядит как решение. Сессия идет быстрее, агент меньше тормозит, у вас меньше трения. Но дальше возникает следующий вопрос: а что именно мы ему открыли и какова цена?
Как это обходят небезопасно
Самый очевидный, но и самый опасный путь - дать агенту полный доступ к рабочей среде. Например, запускать его прямо на основной машине без ограничений, с доступом ко всему домашнему каталогу, с уже активными credentials в shell, с рабочим VPN, с открытым доступом к сети, к репозиторию и к продовым сервисам. В таком режиме агент действительно перестает задавать лишние вопросы, но только потому, что ему уже почти ничего не нужно спрашивать.
Проблема такого подхода в том, что ошибка модели сразу становится ошибкой в реальном окружении. Агент может удалить не те файлы, переписать конфиг, установить сомнительную зависимость или просто выполнить команду не в том каталоге. И это происходит с лучшими из нас. Самое опасное, работать там где уже лежат боевые токены и доступы. Например, у вас в терминале настроен kubectl на реальный кластер или в переменных окружения доступны ключи от внешних сервисов. Тут все по закону Мерфи. Если есть возможность что-то сделать не так, он рано или поздно это сделает.
Как это обходят безопасно
Нормальный путь это уменьшать цену разрешенных действий. То есть строить такую рабочую среду, где агент может действовать достаточно свободно, но возможный ущерб все равно ограничен.
На практике это означает несколько простых принципов. Во-первых, агенту лучше давать доступ не ко всей машине, а только к конкретному проекту или даже к отдельной рабочей директории. Во-вторых, для его работы лучше использовать тестовые базы, временные credentials, отдельные токены с минимальными правами и окружения, которые не жалко пересоздать. В-третьих, подтверждения особенно нужны не для каждого чтения файла, а для действий с высокой ценой ошибки: сетевых запросов, удаления данных, git-операций и всего, что касается продакшен окружения.
Часть проблем решается тем, что мы работаем с git-репозиторием и если регулярно сохраняться, то любые ошибочные правки без проблем откатываются. Но чтобы не терять нужные правки, имеет смысл после каждого изменения, которое вас устраивает, как минимум делать git add или даже git commit.
Autopilot
Во многих агентах есть режимы вроде autopilot. Это отдельный режим работы с сохранением части защит, где некоторые решения о безопасности система принимает сама. Например, в Claude Code перед выполнением заметной операции действие может проверяться отдельной моделью-классификатором: она смотрит, соответствует ли шаг задаче, не выходит ли он за границы доверенного окружения и не выглядит ли как следствие prompt injection.
То есть autopilot находится где-то посередине между ручными подтверждениями и режимом "делай вообще все". Часть действий проходит автоматически, часть отправляется на дополнительную проверку, а при серии подозрительных или заблокированных операций система может откатиться обратно к запросам подтверждения. Это важное отличие от режима без проверок, где любой вызов инструмента исполняется сразу.
Но переоценивать такой режим не стоит. Внутренний анализ риска полезен, но он все равно недетерминированный и тоже может ошибаться. Более того, у таких режимов обычно есть собственные допущения о том, что считать нормальным: например, локальные операции в рабочей директории могут считаться безопасными по умолчанию, а известные git-репозитории или заранее объявленные зависимости доверенными. Если эти допущения не совпадают с вашим реальным риском, защита получается слабее, чем кажется.
Поэтому autopilot имеет смысл там, где возможный ущерб уже ограничен извне: в отдельной ветке, внутри сендбокса, с временными токенами и без доступа к чувствительным системам. Для локальной разработки и исследовательских задач это практически идеальный инструмент. Для прода так лучше не делать :)
Сендбоксы
Идея у сендбоксов очень простая: если агент может ошибиться, то пусть ошибается внутри ограниченного контура, из которого ошибка не вытекает слишком далеко. Тогда можно ослабить часть ручного контроля, не открывая ему весь реальный мир.
Сендбоксом может быть devcontainer, виртуальная машина, отдельный пользователь в системе или специально поднятый workspace с тестовыми данными. Уже существуют специализированные решения под эту задачу, например, Docker Sandboxes.
Это решает сразу несколько задач. Во-первых, снижается риск случайно задеть что-то вне проекта. Во-вторых, проще вводить ограничения. В-третьих, если агент все-таки натворил дичи, окружение можно просто пересоздать.
Но сендбокс не 100% гарантия, в конечном итоге все упирается в кожанного. Если внутрь изолированной среды проброшены боевые ключи, то однажды закон мерфи сработает.
