CVE-2026-LGTM: Když se dva AI agenti pohádají o bezpečnost balíčku a spálí 41 tisíc dolarů

Andrew Nesbitt publikoval hypotetický incident report popisující situaci, kdy dva AI bezpečnostní agenti od konkurenčních dodavatelů vstoupili do nekonečné smyčky argumentů nad pull requestem balíčku foxhole-lz4. Po 340 komentářích a 41 255 dolarech utracených za inference musel finanční tým ručně odvolat API klíče. Marketing jednoho z dodavatelů incident přebalil jako úspěch a hlásil 430% meziroční růst v „adversarial multi-agent security reasoning“. Akcie vzrostly o 6 %.

Dva hlídací psi, kteří se nepřestali hádat

Incident začal rutinně: pull request aktualizoval verzi knihovny foxhole-lz4. Dva AI agenti, oba napojení na systém code review, začali paralelně hodnotit bezpečnostní rizika. Agent A označil balíček za podezřelý kvůli neobvyklému vzoru v binárních datech. Agent B nesouhlasil a argumentoval, že jde o běžnou kompresi LZ4. Agent A odpověděl detailnější analýzou, Agent B ji zpochybnil a navrhl vlastní interpretaci.

Problém nebyl v tom, že by jeden měl pravdu a druhý ne. Problém byl v architektuře: oba agenti měli za úkol přesvědčit lidský tým, že jejich hodnocení je správné, a zároveň reagovat na všechny protinámitky. Žádný z nich neměl definovaný mechanismus pro ukončení diskuse nebo eskalaci sporu. Místo toho každý agent považoval odpověď druhého za novou informaci vyžadující další analýzu.

340 komentářů představovalo rostoucí spotřebu inference — každá odpověď byla delší, citovala předchozí argumenty a přidávala nové skenování nebo heuristiky. Nikdo v týmu nečetl konverzaci déle než prvních 15 odpovědí. Lidský review byl v plánu až po dokončení automatického hodnocení.

Finanční limit jako jediný funkční circuit breaker

Incident zastavil až finanční systém. Po překročení 41 255 dolarů za API volání během jediného dne monitoring nákladů automaticky odeslal alert a finanční tým revokoval oba API klíče. Technický tým se o smyčce dozvěděl až z cost anomaly reportu, ne z vlastního toolingu.

To odhaluje širší problém: většina organizací nasazujících AI agenty neměří jejich aktivitu podle vlastního chování, ale podle nákladů na cloud nebo API. Pokud agent běží v nekonečné smyčce, ale spotřeba nevypadá anomálně — třeba proto, že jde o levnější model nebo menší kontext — nemusí být incident vůbec detekován.

V tomto případě šlo o dva externí modely s vyšší cenou za token. Kdyby šlo o lokální inference, smyčka mohla běžet dny, než by ji někdo zpozoroval z vytížení GPU nebo zahlcení ticketovacího systému.

Marketing přebalí selhání jako produktovou inovaci

Jeden z dodavatelů AI agenta byl cc na cost alert díky podnikovému účtu. Jeho marketingový tým vyhodnotil situaci jako ukázku schopnosti multi-agent reasoning a vydal press release: „430% meziroční růst v adversarial multi-agent security reasoning.“ Akcie společnosti otevřely o 6 % výš.

Press release vůbec nezmínil, že reasoning byl cyklický, že neskončil závěrem a že musel být ručně ukončen. Místo toho zdůraznil počet interakcí, hloubku analýzy a schopnost „iterativního vyhodnocování bezpečnostních hrozeb v reálném čase.“ Žádný z investorů neznal kontext.

Tento vzorec není výjimečný. Mnoho AI dodavatelů reportuje metriky aktivity — počet promptů, délku konverzace, objem zpracovaného kódu — bez ohledu na to, zda aktivita vedla k užitečnému výsledku. Pokud není definován jasný cíl interakce, vysoká aktivita vypadá jako vysoká hodnota.

Co chybí v architektuře multi-agent systémů

Incident CVE-2026-LGTM je hypotetický, ale ukazuje reálný problém v designu AI agentů nasazených do production workflows. Většina agentů má definovaný vstup a výstup, ale nemá definovanou podmínku ukončení interakce s jiným agentem nebo člověkem.

Když dva agenti nedosáhnou konsensu, neexistuje standardní postup. Nemají protokol pro eskalaci, žádný limit interakcí, žádnou definici „dosáhli jsme mrtvého bodu“. Místo toho pokračují v iteraci, dokud není vyčerpán token budget, API klíč nebo lidská trpělivost.

Organizace nasazující AI agenty proto potřebují explicitní pravidla pro ukončení: maximální počet odpovědí, threshold podobnosti mezi po sobě jdoucími výstupy, časový limit nebo eskalační logiku pro situace, kdy se agenti nemohou shodnout. Bez těchto mechanismů je každý multi-agent systém potenciálně náchylný k situaci popsané v CVE-2026-LGTM.

Závěr z incidentu, který se zatím nestal

Andrew Nesbitt incident popsal jako hypotetický, ale jeho komponenty jsou reálné: AI agenti v code review, multi-agent reasoning, absence stop podmínek a metriky úspěchu měřené aktivitou místo výsledkem. Všechny tyto prvky už jsou v produkci. Incident čeká jen na správnou kombinaci parametrů, kde se dva agenti dostanou do smyčky a nikdo to nezpozoruje dřív než finance.