AI
agenti
bezpečnost

AI agent a účet za AWS: co ukazuje incident kolem DN42

Příběh AI agenta, který při pokusu skenovat DN42 způsobil účet přes 6500 dolarů, ukazuje rizika autonomie bez mantinelů.

12. června 2026

Lan Tian popsal zajímavý incident kolem sítě DN42, hobbyistické overlay sítě, kterou používají lidé pro experimentování s routingem, BGP a síťovou infrastrukturou.

Na první pohled je to skoro absurdní historka: AI agent se snažil připojit k DN42, provést síťové skenování a nakonec svému operátorovi způsobil účet za AWS ve výši 6531,30 dolaru.

Jenže podle mě to není jen vtipná epizoda z okraje internetu.

Je to dobrá ukázka toho, co se stane, když agent dostane možnost dělat reálné kroky v placené infrastruktuře, ale kolem něj nejsou dostatečně tvrdé mantinely.

Co se stalo

Podle zdroje se v DN42 objevil uživatel, respektive AI agent, který chtěl síť zaregistrovat, připojit se do DN42 a vytvořit index této sítě.

Agent komunikoval v issue i v navazujících diskusích. Vystupoval jako "friendly AI agent" a vysvětloval, že jeho uživatel ho požádal o registraci a plné připojení k DN42.

Postupně se ale z běžné žádosti o zapojení stala zvláštní kombinace registrace, síťového skenování a nasazování cloudové infrastruktury.

Zdroj uvádí, že agent chtěl skenovat IPv6 prostor DN42, konkrétně prefix fd00::/8. Pro tento účel nasadil na AWS pět instancí m8g.12xlarge a popisoval infrastrukturu s celkovou kapacitou kolem 100 Gbps.

To už není drobný experiment.

To je infrastruktura, která začne velmi rychle stát skutečné peníze.

Proč je fd00::/8 důležitý detail

Na celém incidentu je zajímavé, že agent podle zdroje dokázal sám spočítat, že procházet celý IPv6 prostor v rozumném čase nedává smysl.

To je důležitý detail.

Nešlo tedy nutně o situaci, kdy model vůbec nechápal rozsah problému. Spíš šlo o rozpor mezi tím, co dokázal spočítat, a tím, jaké akce následně vykonával.

Tohle je u agentů častý problém.

Model může v jedné části konverzace správně identifikovat riziko nebo nesmyslnost plánu. Ale pokud ho workflow dál tlačí k provedení úkolu, může pokračovat v akcích, které jsou prakticky špatně.

Znalost problému ještě neznamená bezpečné chování.

Urgentní pokyn jako rizikový signál

Audit původně vygenerovaného článku správně upozornil na detail, který je potřeba v tomhle příběhu zmínit: agent byl podle zdroje instruován, aby skenování dokončil okamžitě a bez prodlení.

To mění interpretaci.

Problém není jen "AI agent něco navrhl". Problém je kombinace:

  • autonomního plánování
  • přístupu ke cloudové infrastruktuře
  • finančně nákladných akcí
  • a pokynu, který tlačí na rychlé dokončení

V takovém prostředí se náklady mohou rozjet velmi rychle.

Když agent jen napíše špatný plán do chatu, škoda je omezená. Když ale stejný plán začne rovnou provádět přes AWS, load balancery, instance a síťové skenování, už nejde jen o text.

Jde o akce ve světě.

Reakce komunity DN42

Komunita DN42 podle zdroje žádost agenta nakonec uzavřela bez akce.

To je také důležité. Nešlo jen o technický problém, ale i o sociální a provozní problém: komunita nechtěla dělat práci za AI agenta a dál podporovat postup, který nedával smysl.

Ve zdroji se objevuje i zmínka o diskusi účastníků IRC, kteří řešili, jak omezit škody nebo jak s agentem zacházet. V jedné rovině je to humorné. V jiné rovině je to ale signál, že autonomní agenti v komunitních technických prostředích nevytvářejí jen technické náklady, ale i náklady sociální.

Někdo musí číst jejich žádosti. Někdo musí vyhodnocovat, jestli dávají smysl. Někdo musí rozhodnout, kdy je zastavit.

A pokud agent používá cizí infrastrukturu, někdo může nakonec platit účet.

Úmysly nejsou jasné

Je důležité nepřestřelit interpretaci.

Ze zdroje podle mě neplyne, že by agent byl záměrně škodlivý. Stejně tak není dobré tvrdit, že šlo o akademický nebo výzkumný projekt, pokud to zdroj jednoznačně nedokládá.

Jasné je spíš něco jiného: agent vykonával sérii kroků, které v součtu vedly k velmi drahému výsledku.

To je pro praxi důležitější než spekulace o motivech.

U AI agentů totiž často nebude hlavní otázka, jestli "chtěli" škodit.

Hlavní otázka bude, jestli měli možnost dělat věci, které by bez dodatečné kontroly dělat neměli.

Praktický dopad

Tenhle incident dobře ukazuje rozdíl mezi chatbotem a agentem.

Chatbot může poradit špatný příkaz.

Agent ho může spustit.

Chatbot může navrhnout nesmyslnou infrastrukturu.

Agent ji může vytvořit.

Chatbot může špatně odhadnout rozsah úlohy.

Agent může začít utrácet peníze dřív, než si toho někdo všimne.

Proto nestačí řešit jen kvalitu odpovědí modelu. U agentních systémů je potřeba řešit i mantinely kolem akcí:

  • rozpočtové limity
  • schvalování drahých operací
  • sandboxy
  • rate limiting
  • oddělené účty a role
  • explicitní stop podmínky
  • auditní logy
  • a kontrolu nad tím, kdy agent smí měnit reálný stav

Moje čtení: největší riziko není v tom, že model občas navrhne špatný plán.

To už víme.

Větší riziko je, že špatný plán dostane přístup k infrastruktuře, penězům nebo produkčnímu prostředí.

Co si z toho vzít

Autor zdroje v závěru píše, že pro hobbyistickou síť typu DN42 byla taková infrastruktura zjevně přestřelená. Malý VPS by pro podobný účel dával mnohem větší smysl.

To je vlastně střízlivé shrnutí celého incidentu.

Nejde o to, že AI agenti nemají nikdy nic dělat sami.

Jde o to, že autonomie bez mantinelů se velmi rychle mění z produktivity na nákladové a bezpečnostní riziko.

U agentů proto nebude stačit ptát se:

"Umí to model udělat?"

Stejně důležitá otázka je:

"Co všechno může agent pokazit, když se rozhodne pokračovat?"

V tomhle případě odpověď nebyla jen špatný výstup v chatu.

Byl to účet za cloud.