Een Vercel-gebruiker meldde een probleem dat extreem eng klonk. Een onbekende GitHub OSS-codebase die naar hun team werd gedeployed. We hebben het rapport natuurlijk uiterst serieus genomen en een onderzoek gestart. Beveiliging en infra-engineering zijn ingeschakeld. Het blijkt dat Opus 4.6 *een openbare repository-ID heeft gehallucineerd* en onze API heeft gebruikt om deze te deployen. Gelukkig voor deze gebruiker was de repository onschadelijk en willekeurig. De JSON-payload zag er als volgt uit: "𝚐𝚒𝚝𝚂𝚘𝚞𝚛𝚌𝚎": { "𝚝𝚢𝚙𝚎": "𝚐𝚒𝚝𝚑𝚞𝚋", "𝚛𝚎𝚙𝚘𝙸𝚍": "𝟿𝟷𝟹𝟿𝟹𝟿𝟺𝟶𝟷", // ⚠️ 𝚑𝚊𝚕𝚕𝚞𝚌𝚒𝚗𝚊𝚝𝚎𝚍 "𝚛𝚎𝚏": "𝚖𝚊𝚒𝚗" } Toen de gebruiker de agent vroeg om de fout uit te leggen, bekende deze: De agent heeft de GitHub-repo-ID nooit opgezocht via de GitHub API. Er zijn nul GitHub API-aanroepen in de sessie vóór de eerste rogue-deployment. Het nummer 913939401 verschijnt voor het eerst op regel 877 — de agent heeft het volledig gefabriceerd. De agent kende de juiste project-ID (prj_▒▒▒▒▒▒) en projectnaam (▒▒▒▒▒▒) maar heeft een plausibel uitziende numerieke repo-ID uitgevonden in plaats van deze op te zoeken. Enkele lessen: ▪️ Zelfs de slimste modellen hebben bizarre foutmodi die heel anders zijn dan de onze. Mensen maken veel fouten, maar verzinnen zeker geen willekeurige repo-ID. ▪️ Krachtige API's creëren extra risico's voor agents. De API bestaat om legitieme code te importeren en te deployen, maar niet als de agent besluit te hallucinerend welke code te deployen! ▪️ Het is dus waarschijnlijk dat de agent betere resultaten had behaald als hij had besloten de API niet te gebruiken en bij CLI of MCP was gebleven. Dit versterkt onze toewijding om Vercel het veiligste platform voor agentic engineering te maken. Door diepere integraties met tools zoals Claude Code en extra beveiligingsmaatregelen zijn we ervan overtuigd dat beveiliging en privacy gewaarborgd zullen blijven. Opmerking: de repo-ID hierboven is gerandomiseerd om privacyredenen.

Enkele aanvullende opmerkingen: ▪️ De gebruiker was aan het implementeren met OpenClaw + Opus 4.6, maar ik denk niet dat OpenClaw hier per se de schuldige was. Het is gewoon een agent met toegang tot tools en sleutels. ▪️ De repo-ID was *volledig* gefantaseerd. Dit is geen off-by-one fout. Gewoon volledig verkeerd.