Как дать ИИ-агенту доступ к проду и не поседеть: безопасный production-дебаг через MCP
cyber_river 13 минут назад Как дать ИИ-агенту доступ к проду и не поседеть: безопасный production-дебаг через MCP Средний 16 мин 177 NestJS * React Native * Кейс Всем привет! Хотел поделится интересным паттерном...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. cyber_river 13 минут назад Как дать ИИ-агенту доступ к проду и не поседеть: безопасный production-дебаг через MCP Средний 16 мин 177 NestJS * React Native * Кейс Всем привет! Хотел поделится интересным паттерном взаимодействия, который удалось выстроить и он довольно неплохо себя показал между ИИ агентом и серверомИтак даноЕсть продакшен среда внутреннего корпоративного сервиса, который я развиваю, в нем 7 контейнеров на докере. Это такая база всех исследований и наработок по продукту и беклог гипотез.
Количество пользователей около 40 человек. Стек классический - React, Nest. js, postgre, redis и тд.
Технические детали
Из необычного там есть RAG и есть еще ИИ чат. Бой работает на coolify (это такой красивый docker swarm) на отдельном сервере. При ее доработке, периодически требовалось делать debug, например что-то отвалилось и тд.
Прод упал/тормозит/один конкретный пользователь жалуется. Я иду в ssh, в конкретный контейнер, делает docker logs, psql, грепаю и тд. В один момент времени просто надоело подключаться к каждому контейнеру и смотреть логи, а когда их семь, это прям нудно и родилась идея, а почему-бы не прикрутить такой технический mcp, ограничить область видимости.
прикрутить авторизацию, так чтобы написать в курсоре, "пользователь увидел вот такое сообщение об ошибке .... , изучи его и логи и пришли предложение по исправлению" или "зависло приложение на экране Клиентская аналитика, посмотри что случилось". Сказано сделано:)что сделал, я дал ИИ-агенту (Cursor/Claude) возможность дебажить наш прод: читать логи контейнеров, трейсить HTTP-запросы по request_id, смотреть активность пользователя.
Отраслевые последствия
Но не через SSH и не через shell — а через узкий набор read-only MCP-тулов, обёрнутый в семь слоёв защиты: capability-скоупы, ролевые гейты, жёсткие лимиты, редакцию секретов, rate-limiting, несмываемый аудит с алертами в Telegram и машиночитаемые ошибки, которые направляют агента. Немного прелюдииКак только вы даёте агенту shell на проде, вы получаете три ужаса (на эту тему очень много мемов в интернете):Разрушение. Агент «галлюцинирует» команду и делает docker restart, DROP, rm и вы можете получить обнуление прода, просто потому что ему кажется это эффективней.
Агент читает чужие персональные данные «на всякий случай», без следов. Друзья из ИБ, сразу придут, скажут ата-таОтравление контекста модели. В логах есть Authorization: Bearer ...
, и токены утекают в LLM-провайдера вместе с контекстом, ну и потом их можно встретить где-нибудь в неожиданном месте. Получается просто дать доступ в bash — значит дать всё сразу. Но мне нужен был минимально достаточный доступ с аудитом.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
