Технічний контекст
Я поліз в історію з GSD не з цікавості, а тому що такі інструменти потім приїжджають до мене в проєкти під виглядом «давайте швидко прикрутимо AI automation». І ось тут я відразу загальмував: у доступних джерелах я не знайшов підтвердженого security advisory, CVE або офіційного визнання витоку саме у GSD.
Є Reddit-шум, є відчуття, що інструмент дуже популярний, є загальний фон тривоги навколо AI-асистентів із доступом до репозиторію, shell та секретів. Але це ще не доказ інциденту. На сьогодні, 24 травня 2026 року, коректніше говорити не «GSD скомпрометовано», а «є непідтверджений сигнал, який не можна ігнорувати».
Я подивився на те, що зазвичай ламається у таких інструментів. Список нудний, але небезпечний: витік токенів з env, відправка зайвого контексту в зовнішні API, телеметрія зі шматками коду, занадто широкі права на файлову систему, плагіни та залежності з сюрпризами.
Якщо GSD або схожий агент вміє читати проєкт, ганяти команди й тягнути контекст у модель, він за замовчуванням сидить поруч із чутливими даними. І проблема тут не тільки в багу самого продукту. Іноді достатньо поганої конфігурації, логування без фільтра або неочевидної інтеграції, щоб отримати дуже неприємний сценарій.
Що це змінює для бізнесу та автоматизації
Перше: не давайте таким інструментам повний доступ «на спробувати». Я б почав з окремого оточення, урізаних прав, тестових ключів і чіткого списку того, що взагалі можна відправляти назовні.
Друге: якщо у вас вже зав'язана автоматизація з AI на код, сапорт або внутрішні бази, перевірте логи та інтеграції сьогодні. Не після поста в X, а зараз. Особливо якщо команда підключала все швидко і без нормальної ревізії прав.
Виграють ті, хто будує AI architecture з обмеженнями та аудитом. Програють ті, хто ставить модний інструмент прямо на прод і сподівається, що пронесе.
Я в Nahornyi AI Lab якраз такі вузькі місця і розгрібаю для клієнтів: де в агента зайвий доступ, де AI solution development впирається в безпеку, де automation with AI вже корисна, але ще не захищена. Якщо у вас GSD або схожий стек вже крутиться в роботі, давайте швидко подивимося архітектуру і закриємо ризики до того, як вони стануть інцидентом.