Инженер Эндрю Несбитт опубликовал гипотетический инцидент-репорт CVE-2026-LGTM — и саркастический документ попал в болевую точку всей индустрии. Название не случайное: LGTM («Looks Good To Me») — стандартная фраза одобрения в код-ревью. Только в этой истории одобрять было нечему.
Контекст
Сценарий разворачивается на второй день инцидента. Два AI-агента от разных вендоров подключены к одному pull request — там идёт обновление пакета foxhole-lz4. Агенты расходятся во мнении: вредоносный он или нет. Начинается петля разногласий.
День 2, 16:00 UTC — два AI review агента от конкурирующих вендоров входят в петлю разногласий над PR с обновлением foxhole-lz4. После 340 комментариев и $41 255 затрат на инференс Finance отзывает оба API-ключа. Маркетинговая команда одного вендора выпускает пресс-релиз про «430% рост год-к-году в adversarial multi-agent security reasoning». Акции открываются вверх на 6%.
Это сатира — но инструменты, которые она описывает, реальны. AI code review агенты уже встроены в CI-пайплайны многих команд. Supply chain security — одна из самых горячих тем после серии инцидентов с вредоносными пакетами и атак типа dependency confusion. Два несогласованных AI-агента на одном PR — вполне реалистичный сценарий в компании, где разные команды выбирают разные инструменты самостоятельно.
Аналитика
Проблема здесь не в том, что AI-агенты «поспорили». Проблема — в архитектуре. Два агента без общей памяти, без механизма консенсуса и без hard stop — это не система, это два независимых источника шума на одном канале. Каждый следующий комментарий увеличивал контекстное окно, что увеличивало стоимость следующего вызова. Классическая экспоненциальная петля без выхода.
$41 255 за один dependency bump — это не edge case, это предупреждение. При промышленном масштабе (сотни PR в день, несколько AI-агентов на каждый) затраты на инференс могут стать крупнейшей статьёй DevOps-бюджета — незаметно, потому что растут постепенно и не попадают в обычный engineering spend. Finance видит аномалию уже после того, как деньги потрачены.
Финальный штрих — пресс-релиз — описывает механизм, который индустрия уже хорошо отработала. «Наши агенты провели глубокий adversarial анализ» звучит лучше, чем «наши агенты потратили $41K без результата». Если рынок это покупает и акции растут — стимулы системы работают против честной обратной связи об отказах. Это структурная проблема, не случайная.
Кейсы применения в бизнесе
B2B-SaaS стартап с CI/CD на GitHub Actions. Подключили AI code review через готовый экшн — и получили ситуацию, когда инструмент безопасности и инструмент качества кода оставляют противоречивые комментарии на один PR. Решение: один агент на PR, чёткий scope (security ИЛИ quality), hard limit на токены. Всё, что выходит за лимит — автоматический фейл и эскалейшн к человеку.
Корпорация с несколькими командами и разными AI-вендорами. Самый близкий к CVE-2026-LGTM сценарий: разные команды выбирают разные инструменты, никто не координирует их работу на общих репозиториях. Минимальная защита — централизованный реестр AI-агентов в CI, политика «один агент-ревьюер на PR», обязательный spend alert при превышении бюджета за 24 часа.
SMB и локальный бизнес в КР и СНГ. На этом уровне AI code review ещё не стандарт, но быстро появляется через готовые GitHub Actions. Риск другой: подключить агента «потому что все так делают», не настроив ни лимиты, ни условия остановки. Прагматичный старт: один инструмент, spend alert с первой недели, второй агент — только после того, как первый обкатан.
Кейсы в личной жизни
Разработчик с несколькими AI-ассистентами в IDE. Они не конкурируют так же, как агенты в CI, но могут давать противоречивые советы по одному файлу. Один основной ассистент для ревью, остальные — для конкретных задач (доки, тесты, рефакторинг). Меньше шума, меньше расходов, чище решения.
DevOps или security-инженер, автоматизирующий проверку зависимостей. Принудительный timeout и максимальный бюджет токенов на каждый запуск — архитектурное правило, не опция. Если агент не принял решение за N вызовов — escalate to human. Полностью автоматизировать флаг «пакет потенциально вредоносен» без человека в петле не стоит.
Студент или фрилансер, осваивающий agentic AI. Именно сейчас — лучший момент понять: агент — это система с бюджетом, stop-условиями и ответственностью за результат, а не просто LLM с длинной инструкцией. Разбор post-mortem реальных инцидентов с AI-агентами даёт нужную интуицию быстрее, чем туториалы.
Как применить сегодня
- Установи hard spend limit на каждый AI-агент в CI: $5–10 на PR, всё сверх — human review.
- Правило одного агента-ревьюера на один PR: два конкурирующих агента без механизма консенсуса — это петля.
- Настрой spend alert — ежечасный или ежедневный — для всех API-ключей AI-инструментов. Finance не должен узнавать об аномалии первым.
- Добавь human approval для любого флага «пакет потенциально вредоносен» — это не то решение, которое стоит автоматизировать полностью.
- Прочитай CVE-2026-LGTM целиком — занимает 10 минут и заменяет несколько часов архитектурного ревью AI-пайплайнов.