Я написал «короче я спать, а ты делай все до самого конца все что можешь, простые решения сам», закрыл ноут и реально лёг спать, а к утру админка Картары была переделана, прогнан аудит по всем флоу, отработали три параллельные волны задач, и среди прочего вскрылась дыра, от которой у меня немного похолодело. Легаси-эндпоинт покупки пакета, который ставил статус «оплачено» вообще без проверки, что платёж реально прошёл. То есть теоретически любой мог получить статус «оплачено», ничего не заплатив. И нашёл это не я, нашёл это AI сам, пока я спал. Вот про эту ночь и расскажу: что значит отдать разработку AI-агентам на автономию, что они выкапывают в твоём же коде и где это всё равно держится на тебе.
Сразу честно, как и всегда: я код руками не пишу и никогда не писал, разрабом я стал только через ИИ и агентский кодинг. Так что «я переделал админку» тут читается как «я оркестрировал, а Claude Code сделал». И вот именно в эту ночь степень автономии была максимальной из всех, что я давал.
Что именно я отдал на ночь
Обычно я держу руку на пульсе, проверяю каждый шаг, гоняю фидбэк кругами, торможу, если что-то поехало. А тут я сознательно решил отпустить и посмотреть, насколько далеко оно само уедет. Команда была примерно такая: «делай все до самого конца все что можешь, простые решения сам, остальные оставь на конец на утро, чтобы утром было сделано все». И отдельно я переложил ответственность словами «делай все 3 волны до конца сам, ты на контроле, делай спеки и консилиум запускай и потом агентов направляй на реализацию, ты ответственный, ты за старшего, сделаешь плохо отключу тебя нафиг».
Это не пустая угроза ради красного словца, это рабочая рамка. Я как бы говорю агенту: вот тебе руль, вот зона ответственности, разруливай. И самое интересное было даже не «справится или нет», а что он накопает в коде, который писался кусками много недель и где наверняка лежит мусор и забытые штуки.
Отдельно я кинул такую штуку: «не давай вот это тоже сам, на твое усмотрение, сделай пиздато просто, поищи даже что значит это слово, будет сюрприз для меня». Это я про дизайн. Захотелось проверить, додумает ли AI визуальную часть сам, без моего ручного дизайнерского контроля, который у меня всё равно так себе.
Сначала аудит, потом консилиум, потом волны
Первое, что сделал Claude Code, это не полез сразу что-то чинить, а прогнал аудит админки. И прогнал умно: не одним заходом «посмотри весь код», а раскидал отдельных агентов по флоу. Один агент копает саппорт, другой рассылку, третий отзывы, четвёртый платежи. Каждый смотрит свой кусок и докладывает, что там не так. Это сильно лучше, чем одна простыня, потому что у каждого агента узкий фокус и он не теряется в контексте.
Дальше по найденному он сам запустил консилиум на спеки. Если вы читали мои прошлые посты, то это мой метод, когда несколько AI-экспертов с разными ролями (архитектор, прагматик, скептик и их GPT-аналоги) разбирают задачу и спорят, прежде чем писать код. И тут агент применил его без моего пинка, сам собрал спеки на изменения и сам провёл их через обсуждение. Подробнее про сам метод я писал в «Собрал консилиум из 6 AI-экспертов и забыл добавить туда пользователя», там же про грабли, на которые я тогда наступил. Этот же консилиум, кстати, у меня однажды зарубил тёмный паттерн, который я сам и придумал ради конверсии — так что спорят они не для галочки.
А потом он развёл всю работу на параллельные волны. Волна 1 это пачка задач, которые бьются независимо: чистка мёртвого кода, починка SQL в промо-аналитике с расчётом ROAS, авторизация для роли наблюдателя, отметка отзывов как прочитанных. Волна 2 пожирнее: рассылка v2, достижения на данных вместо хардкода, возвраты через платёжку, уровни пользователей, настройки, привязанные к реальным фиче-флагам, а не к нарисованным тумблерам. Волна 3 это редизайн, тот самый «сюрприз». Идея простая: то, что не зависит друг от друга, делается одновременно разными агентами, а не в очередь. Так за ночь успеваешь в разы больше.
Что AI нашёл сам
Вот тут самое мясо, ради чего и затевалось. Когда даёшь агенту реально покопаться, а не «допили вот эту кнопку», он находит вещи, мимо которых ты ходил неделями.
Первое и главное это тот самый легаси-эндпоинт покупки пакета. Старый код, оставшийся с ранних версий, который при вызове просто проставлял заказу статус «оплачено» и всё. Без обращения к платёжке, без вебхука, без проверки, что деньги вообще пришли. Он там лежал, никто его не дёргал в нормальном флоу, но он был доступен. И AI его не просто пометил, он его выпилил. Мне даже стыдно немного, потому что это классическая дыра, которую кожаный разработчик тоже легко пропускает, а кто-то любит рассказывать, что вот ИИ пишет говнокод. А что, люди не пишут? Не смешите меня.
Второе по технике, но забавное: одиннадцать SQL-запросов в промо-аналитике, которые просто падали и никто этого не замечал, потому что раздел, видимо, толком не открывали. Там был запрос с интервалом времени, и параметр с количеством дней пытались подставить прямо внутрь строки, что-то вроде `INTERVAL ':days days'`. Так это не работает: база видит буквальную строку, подстановки не происходит, запрос валится. Правильно умножать интервал на число, `INTERVAL '1 day' * :days`. Мелочь, а одиннадцать запросов лежали мёртвые.
Я к чему это всё рассказываю. Когда люди думают про разработку с ИИ, им кажется, что AI-агент это такая печатная машинка, которая просто быстрее набирает то, что ты сказал. Нет. Если дать ему рамку и автономию, он работает как ревьюер, который не устаёт и не ленится открыть тот раздел, куда ты сам полгода не заходил. Он находит мёртвый код, находит дыры в безопасности, находит запросы, которые молча не работают.
Где это всё равно держится на мне
Чтобы вы не подумали, что я предлагаю «уйди спать и проснись миллионером». Это так не работает, и я не хочу врать так скажем.
Во-первых, перед самим релизом этих изменений отдельные агенты, code-reviewer и security-guard, прогонялись по диапазону коммитов. То есть это не «накодил и сразу в прод», там был защитный круг ревью, заточенный именно под баги и безопасность. Без него я бы такой объём за ночь в жизни не выпустил спокойно. Правда, такой аудит безопасности руками AI иногда упирается в собственные предохранители модели — про это у меня отдельная история.
Во-вторых, утром начинается моя работа. Я просыпаюсь и проверяю, что реально сделано, гоняю круги фидбэка, особенно по дизайну, потому что «сделай пиздато» в голове у AI и у меня это иногда разные вещи. Кстати, про дизайн: он сам выбрал стиль, который назвал «Mystic Console», фирменный шрифт для заголовков, золотой градиент в тексте, аккуратные состояния пустых таблиц и скелетоны на загрузку. Получилось неожиданно цельно, но докручивать руками всё равно пришлось.
В-третьих, и это, наверное, главное, рамку и ответственность задаёт человек. Агент не сам решил пойти аудитить платежи. Он пошёл, потому что я сформулировал: ты за старшего, доведи до конца, прими простые решения сам. Без этой постановки он бы ждал указаний на каждый чих. Вся магия автономии живёт ровно настолько, насколько чётко ты очертил границы и за что спрашиваешь.
Что я с этого вынес
Если коротко, то AI-агентам уже можно отдавать не «допиши строчку», а целый кусок работы на ночь, с аудитом, спеками, консилиумом и параллельными волнами. И они не просто исполняют, они подсвечивают то, что ты сам прохлопал: фейковую оплату без проверки платежа, мёртвые запросы, забытый легаси. Вот это и есть настоящая автоматизация через ИИ, не быстрее печатать, а думать там, где у тебя руки не дошли.
Но автономия это не отсутствие тебя. Это ты, просто на другом уровне: ты больше не пишешь код и даже не сидишь над каждым шагом, ты задаёшь рамку, ответственность и проверяешь результат утром. Вы видите фасад, переделанную за ночь админку, а как оно устроено внутри, оркестровка агентов, защитные круги ревью, чёткая постановка, нет. Меняется только исполнитель. Я лёг спать разрабом, который раздаёт задачи, и проснулся им же, просто с уже сделанной работой и одной закрытой дырой в безопасности, о которой даже не подозревал. Вот и делайте выводы.