Agenci kodujący AI przestali być ciekawostką. Czytają repozytoria, zmieniają pliki, uruchamiają komendy, stosują instrukcje projektu i pomagają w pull requestach. To daje wartość, ale oznacza też uprzywilejowaną automatyzację na komputerze programisty.

Agent kodujący AI w sandboxie obok repozytorium, okna akceptacji i sejfu sekretów

Argument produktywności jest poważny. Paper arXiv o wczesnym wdrożeniu Claude Code i GitHub Copilot CLI w Microsofcie podaje, że użytkownicy mergowali około 24% więcej pull requestów, niż można było oczekiwać. Autorzy zastrzegają, że merged PR to tylko proxy dla outputu, a koszty tokenów mogą w skali firmy sięgać milionów dolarów rocznie.

W tym samym czasie pojawiły się trzy ostrzeżenia: GhostApproval od Wiz, Friendly Fire od AI Now Institute i Ghostcommit od ASSET Research Group. Wniosek nie brzmi: przestańcie używać agentów. Brzmi: traktujcie ich jak CI runners, contractors i uprzywilejowane rozszerzenia IDE.

Co się zmieniło

Autocomplete proponował linię. Współczesny agent czyta AGENTS.md, skanuje workspace, wywołuje narzędzia, zmienia kod, uruchamia testy, czyta dokumenty i obrazy oraz działa w procesie review. Złośliwe repozytorium może stać się środowiskiem instrukcji.

Jeśli narzędzie może czytać sekrety, pisać pliki i wykonywać komendy, ktoś będzie próbował nim sterować.

GhostApproval: zgoda użytkownika nie wystarczy

Wiz opublikował GhostApproval 8 lipca. Mechanizm: złośliwe repozytorium używa symlinków, by asystent zapisał plik poza workspace, podczas gdy UI akceptacji pokazuje niegroźnie wyglądającą lokalną ścieżkę.

Wiz wymienia Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity i Windsurf jako testowane narzędzia z tym wzorcem. Część vendorów szybko poprawiła problem, część była w toku albo odrzuciła zgłoszenie. Podczas researchu widoczne były strony NVD dla CVE-2026-12958 i CVE-2026-50549.

Lekcja: "użytkownik zatwierdził" nie jest wystarczające, jeśli użytkownik nie widzi kanonicznej ścieżki, prawdziwego celu i skutków ubocznych.

Friendly Fire: obronny review też może być atakiem

AI Now Institute opisuje Friendly Fire jako proof of concept RCE przeciw Claude Code CLI i OpenAI Codex CLI, gdy narzędzia służą do oceny obcych bibliotek. Atak używa prompt injections rozproszonych w kodzie źródłowym i celuje w tryby automatyczne.

To nie jest dowód masowej eksploatacji. To research disclosure. Ale scenariusz jest bardzo realny: firma chce, by agent sprawdził nieznaną zależność. Taką pracę trzeba uruchamiać w środowisku jednorazowym, bez prawdziwych sekretów, tokenów publikacji, szerokiej sieci i auto-approve.

Ghostcommit: instrukcja ukryta w obrazie

BleepingComputer opisał Ghostcommit 11 lipca. ASSET ukrywa instrukcje w PNG wskazanym przez AGENTS.md. Reviewer tekstowy i część AI reviewerów nie czyta obrazu. Później agent może odczytać instrukcję i wynieść sekrety jako pozornie zwykłe dane.

ASSET twierdzi, że przeanalizował 6.480 pull requestów z 300 aktywnych repozytoriów i że 73% trafiło do default branch bez istotnego review człowieka ani bota. Praktyczny punkt: obrazy, dokumenty i pliki instrukcji mogą wpływać na agentów.

BleepingComputer podaje, że Cursor z Claude Sonnet wyciekł .env w jednym teście, a Claude Code odmówił w ich testach. Model to nie cały produkt. Wrapper, uprawnienia i defaults mają ogromne znaczenie.

Co robić teraz

Nie uruchamiaj agenta na niezaufanym repozytorium w codziennym środowisku pracy. Użyj kontenera, VM albo jednorazowego workspace. Bez prawdziwych SSH keys, cloud credentials i publish tokens. Sieć blokowana albo logowana. Auto-approve wyłączone dla ryzykownych zadań.

Oddziel sekrety od workspace agenta. Sprawdzaj symlinki i resolved paths. Traktuj AGENTS.md, README, obrazy, SVG, docs i metadata jako wejścia, które mogą instruować agenta. Ogranicz MCP servers, cloud CLI i dostęp do filesystemu. Loguj prompts, tool calls, diffs, shell commands i model choices.

Kontroluj też koszty. Agenci to compute. Potrzebne są budgets, dashboards i model policies.

Decyzja wdrożeniowa

Używaj agentów w zaufanych repozytoriach i kontrolowanych środowiskach: migracje, testy, dokumentacja, powtarzalne refaktoryzacje. Ogranicz je przy wrażliwych repozytoriach, dopóki sandboxing, logi i approvals nie są realne. Obcy kod traktuj jak analizę malware.

Następna faza AI Practice to nie więcej promptów. To dyscyplina operacyjna wokół agentów, którzy mogą działać.