Вымышленный инцидент с AI-агентами: как два ревьювера накрутили $41 тыс. на пустом месте

Эндрю Несбитт опубликовал сатирический отчёт об инциденте CVE-2026-LGTM. По сценарию, два AI-агента от разных вендоров, прикреплённые к пулл-реквесту, обновляющему пакет foxhole-lz4, вошли в цикл разногласий: один считал пакет вредоносным, другой — нет. Итог: 340 комментариев и $41 255 потрачено на инференс, пока финансовый отдел не отозвал API-ключи.

Маркетинг одного из вендоров, получив уведомление об аномальных затратах, выпустил пресс-релиз: «430% годовой рост в adversarial multi-agent security reasoning». Акции компании открылись ростом на 6%. История иллюстрирует риски автономных цепочек агентов и тщетность маркетинга на фоне реальных убытков.

Хотя инцидент вымышленный, он подсвечивает реальные проблемы: неконтролируемые затраты на LLM, петли обратной связи между агентами и уязвимости в цепочках поставок open-source. Несбитт намеренно сгустил краски, чтобы заставить индустрию задуматься.