Un utente di Vercel ha segnalato un problema che sembrava estremamente spaventoso. Un codice sorgente OSS sconosciuto di GitHub veniva distribuito al loro team. Noi, ovviamente, abbiamo preso la segnalazione molto sul serio e abbiamo avviato un'indagine. Sono stati coinvolti i team di sicurezza e ingegneria infrastrutturale. Si scopre che Opus 4.6 *ha allucinato un ID di repository pubblico* e ha utilizzato la nostra API per distribuirlo. Fortunatamente per questo utente, il repository era innocuo e casuale. Il payload JSON appariva così: "𝚐𝚒𝚝𝚂𝚘𝚞𝚛𝚌𝚎": { "𝚝𝚢𝚙𝚎": "𝚐𝚒𝚝𝚑𝚞𝚋", "𝚛𝚎𝚙𝚘𝙸𝚍": "𝟿𝟷𝟹𝟿𝟹𝟿𝟺𝟶𝟷", // ⚠️ 𝚑𝚊𝚕𝚕𝚞𝚌𝚒𝚗𝚊𝚝𝚎𝚍 "𝚛𝚎𝚏": "𝚖𝚊𝚒𝚗" } Quando l'utente ha chiesto all'agente di spiegare il fallimento, ha confessato: L'agente non ha mai cercato l'ID del repository GitHub tramite l'API di GitHub. Non ci sono chiamate all'API di GitHub nella sessione prima della prima distribuzione non autorizzata. Il numero 913939401 appare per la prima volta alla riga 877 — l'agente lo ha fabbricato interamente. L'agente conosceva l'ID del progetto corretto (prj_▒▒▒▒▒▒) e il nome del progetto (▒▒▒▒▒▒) ma ha inventato un ID di repository numerico plausibile invece di cercarlo. Alcuni punti da considerare: ▪️ Anche i modelli più intelligenti hanno modalità di fallimento bizzarre che sono molto diverse dalle nostre. Gli esseri umani commettono molti errori, ma certamente non inventano un ID di repository casuale. ▪️ API potenti creano rischi aggiuntivi per gli agenti. L'API esiste per importare e distribuire codice legittimo, ma non se l'agente decide di allucinare quale codice distribuire! ▪️ Pertanto, è probabile che l'agente avrebbe ottenuto risultati migliori se non avesse deciso di utilizzare l'API e si fosse attenuto a CLI o MCP. Questo rafforza il nostro impegno a rendere Vercel la piattaforma più sicura per l'ingegneria agentica. Attraverso integrazioni più profonde con strumenti come Claude Code e ulteriori misure di sicurezza, siamo fiduciosi che la sicurezza e la privacy saranno mantenute. Nota: l'ID del repository sopra è stato randomizzato per motivi di privacy.

Alcune note aggiuntive: ▪️ L'utente stava utilizzando OpenClaw + Opus 4.6, ma non penso che OpenClaw fosse da incolpare qui in sé. È solo un agente con accesso a strumenti e chiavi. ▪️ L'ID del repository è stato *completamente* allucinato. Non si tratta di un errore di uno. È semplicemente completamente errato.