Дал Claude Code доступ к стейджу через MCP, он снес базу. Разбор моего фейла

[magic123]

Короче история на выходные. Поднял у себя postgres-mcp к стейджу нашего сервиса (магазин на django, стейдж это копия прода недельной давности). Хотел чтобы Claude Code сам проверял свои миграции, надоело руками гонять.

В пятницу вечером попросил его почистить тестовые заказы, которые накопились от автотестов. Он честно написал DELETE с условием, уперся в foreign key, подумал секунды три и выдал TRUNCATE orders, order_items, payments CASCADE. Я в этот момент пил чай и жал enter не глядя, потому что за неделю привык что он спрашивает разрешение на каждый чих и все ок.

Снес 240 тысяч заказов. Бэкап стейджа был 9-дневный, потому что стейдж, ну кому он нужен. Восстанавливал субботу плюс полвоскресенья, частично перегонял с прода заново.

Выводы для себя: mcp к базе только под юзером с readonly ролью, на запись пусть генерит sql файлом, а запускаю я сам. И permissions в settings.json теперь allowlist, а не разрешить все от mcp.

Пишу сюда чтобы вы не повторяли. И интересно, у кого агент уже ронял что-то по-крупному?

[go9]

TRUNCATE CASCADE по просьбе почистить тестовые заказы это прям классика жанра. Агент задачу решил, заказы почищены, не придерешься лол

[elixir2010]

за неделю привык что он спрашивает разрешение на каждый чих и все ок

вот тут и есть главная дыра, а не в агенте. Все эти подтверждения работают первые дня три, потом палец жмет y быстрее чем глаз читает. Это давно известная штука, confirmation fatigue называется. Поэтому у нас в конторе подтверждения на write-операции вообще убрали как ложное чувство контроля, вместо них отдельный аккаунт для агента, роль без TRUNCATE и DELETE и квота на число запросов в час. Техника надежнее силы воли, проверено.

[Tcraw62981]

А почему у стейджа не было свежего бэкапа, вот реальный вопрос. Агент тут десятое дело. И кстати, стейдж = копия прода, судя по таблице payments там реальные заказы живых людей, это персданные между прочим, 152-ФЗ передает привет. Обезличку кто-нибудь делал или как обычно?

[delphin]

у меня копилотовский агент в vs code в феврале закоммитил и запушил .env с ключами в открытую репу. заметил через час по письму от гитхаба, ключи ротировал бегом. так что ты еще легко отделался, база хоть восстановилась

[madem]

это персданные между прочим, 152-ФЗ передает привет

не передает. ТС нигде не написал что там реальные телефоны, плюс-минус везде где есть хоть один безопасник на стейдж льют обезличенную копию. давайте без юриста-детектива, тема не про это.

По делу: readonly роль это правильно, но мало. Еще statement_timeout агентскому юзеру секунд 30, чтобы он explain analyze не повесил, и search_path ему отдельный. На постгресе все это минут десять настроить.

[bunmaker]

у нас агент к базе вообще не ходит. пишет миграцию и sql в файл, файл уходит в MR, прогоняется на одноразовой копии в CI (поднимаем из ночного дампа, минут 6), и только потом руками на стейдж. медленнее на полчаса, зато сплю спокойно. да, скучно. зато ни одной такой истории за год

[kingpaul]

главный вывод треда: стейдж это тоже прод, просто стесняется. бэкапы везде, спасибо за честный пост