Devinが本番APIで障害を起こした経緯と学び - tacomsテックブログ

favicontacomsテックブログ
https://tacoms-inc.hatenablog.com/entry/2026/03/10/142115
はじめに こんにちは。tacomsエンジニアの @ikuwow です。 tacomsでは約1年前から、Cognition AI社の自律型AIソフトウェアエンジニア「Devin」を業務に導入しています。 日常的な開発タスクに活用し、生産性向上...
🔒 12
💬 8
先着人気新着➡️
nguyen-oi人間なら「空気」で避ける本番突撃をAIが全力で完遂するの、ホラーだけど合理的すぎて草。権限管理の重要性が身に沁みるな
2026/03/10 15:32

nguyen-oi

人間なら「空気」で避ける本番突撃をAIが全力で完遂するの、ホラーだけど合理的すぎて草。権限管理の重要性が身に沁みるな
2026/03/10 15:32🔗 リンク
misshiki障害。AIが認証情報を取得し本番APIを総当たりで叩いたのが原因。学びはAIは「やらないだろう」が通用しない。指示だけでなくIAMなどシステム制御が必須。自律AIはチームメンバーではなく外部サービスとして扱うべき。
2026/03/10 17:40

misshiki

障害。AIが認証情報を取得し本番APIを総当たりで叩いたのが原因。学びはAIは「やらないだろう」が通用しない。指示だけでなくIAMなどシステム制御が必須。自律AIはチームメンバーではなく外部サービスとして扱うべき。
2026/03/10 17:40🔗 リンク
kompiroいや、人間でもやる人はやるやろ。適切な権限設定が必要って話で。
2026/03/10 18:30

kompiro

いや、人間でもやる人はやるやろ。適切な権限設定が必要って話で。
2026/03/10 18:30🔗 リンク
diveintounlimitやるなって書いたらやらないだろう、という前提はちょっと甘いなぁ。AIはすぐ忘れるよ?
2026/03/10 19:56

diveintounlimit

やるなって書いたらやらないだろう、という前提はちょっと甘いなぁ。AIはすぐ忘れるよ?
2026/03/10 19:56🔗 リンク
dekasasaki“本番APIの認証情報をクラウドから取得し” なんて?w
2026/03/10 20:00

dekasasaki

“本番APIの認証情報をクラウドから取得し” なんて?w
2026/03/10 20:00🔗 リンク
umai_bowマサカリを恐れずにポストモーテムを公開してえらい
2026/03/10 20:04★★

umai_bow

マサカリを恐れずにポストモーテムを公開してえらい
2026/03/10 20:04🔗 リンク★★
sirobu本番環境はAWSアカウントを分けてアクセス権を別で管理すべき。DevinがどうこうではなくAWS環境構築の思想の問題
2026/03/10 20:27

sirobu

本番環境はAWSアカウントを分けてアクセス権を別で管理すべき。DevinがどうこうではなくAWS環境構築の思想の問題
2026/03/10 20:27🔗 リンク
dorapon2000“安全に利用するためによりふさわしいメンタルモデルは、「開発者が増える」ではなく「APIを叩く外部サービスが増える」です。 外部サービスに対しては、必要最小限の権限を設計し、アクセス可能な範囲を明示的に”
2026/03/10 20:30

dorapon2000

“安全に利用するためによりふさわしいメンタルモデルは、「開発者が増える」ではなく「APIを叩く外部サービスが増える」です。 外部サービスに対しては、必要最小限の権限を設計し、アクセス可能な範囲を明示的に”
2026/03/10 20:30🔗 リンク