GitHub CI/CD ломается под потоком AI Coding Agents:
маршрут побега на bare-metal-Mac self-hosted runner

Если разложить события мая 2026 по таймлайну, давление структурное, а не точечное. Под агентной нагрузкой последовательно вскрылись трещины в управляющей плоскости, планировщике и шине сообщений.

• 06.05.2026: Copilot Cloud Agents недоступен несколько часов. Доля отказов Actions runners — ~17,1 %. Подсистема распределения runner не успевала за всплесками агентов.
• 11–12.05.2026: На actions-runner-controller v0.14.1 — перезапуски listener на ошибке broker EOF: unknown error, ephemeralrunner в статусе Completed, pickup с секунд до 10+ минут. Многие откатились на 0.13.1.
• 15.05.2026: GitHub Actions деградировал 07:43–08:48 UTC — окно 65 мин, до 42 % runs в отказе/задержке. Pages, Coding Agent и Code Review Agent просели одновременно. Причина — плановый failover, обновление service discovery не распространилось.
• Ёмкость: Actions обрабатывает ~71 млн job/сутки. GitHub заявил цель 30× к 2027 и переводит часть ядра на Vitess.
• AI-сигнал: В 2025 число AI-проектов на GitHub с Bash-агентами выросло на 206 % год к году. GitClear: AI-код в PR несёт 10,83 проблемы против 6,45 у людей.

На стороне эксплуатации симптомы повторяются. Job-ы зависают в queued, Coding Agent отдаёт orchestrator timeout, self-hosted runner показывается как «lost communication», а api.github.com отвечает штатно. Простая 200/OK-проба не ловит ничего — нужен контентно-осведомлённый мониторинг runs.

Агенты дают не линейный рост нагрузки, а три накладывающихся усилителя: одновременные потоки PR и сборок, более плотные циклы «исправить и перезапустить» на AI-коде и двойной биллинг, когда agentic workflow расходует токены LLM и минуты Actions одновременно. Если наложить эти усилители на тарифные изменения 2026, архитектурное решение становится очевидным. На узком экране таблицу можно прокручивать горизонтально.

Hosted runner по-прежнему хороший оркестратор. Но в 2026 это уже не единственный безопасный выход на вычисления для CI, управляемой агентами. Ценность смешанного парка — в стабильном слое исполнения и предсказуемом счёте, а не в попытке утрамбовать все job-ы в общий пул.

В 2026 self-hosted runner — это не экономия, а постоянно открытая точка исполнения. Три недавних инцидента нужно держать в чек-листе SRE. Скомпрометированный actions-cool/issues-helper вытаскивал расшифрованные секреты прямо из /proc/Runner.Worker PID/mem на работающем runner. Червь Shai-Hulud (конец 2025) подсаживал вредоносные runner на хосты-жертвы и использовал workflow GitHub Actions как канал C2. Классическая техника персистентности RUNNER_TRACKING_ID — выставить ID в 0, чтобы orphan-процессы пережили job, — по-прежнему рабочая.

Все эти атаки опираются на один набор условий: слишком широкие токены, неприпинованные сторонние action, runner без ограничения egress и текст PR/Issue, попадающий в prompt агента без фильтра. Минимально жизнеспособная защита выглядит так.

# .github/workflows/agent-build.yml (ключевой фрагмент, SHA — плейсхолдеры)
permissions:
  contents: read          # По умолчанию только чтение, повышение по job
  pull-requests: write     # Нужно только ревью-агенту
  id-token: none           # OIDC выключен, если не нужны короткоживущие токены

jobs:
  build:
    runs-on: [self-hosted, calmvps-mac, m4-pro]
    steps:
      - uses: step-security/harden-runner@<PIN_TO_SHA>
        with:
          egress-policy: block
          allowed-endpoints: >
            github.com:443
            api.github.com:443
            objects.githubusercontent.com:443
      - uses: actions/checkout@<PIN_TO_SHA>
        with: { persist-credentials: false }
      - run: ./scripts/build-and-test.sh

Для агентных workflow добавьте ещё одно правило: не отправляйте сырой текст описания PR, заголовков issue и комментариев в prompt. AI-агент внутри workflow наследует тот же доступ к секретам, что и любой другой step. Подобранный комментарий способен заставить агента вытащить токен как аргумент инструмента. Агентов держать только на чтение, для PR включать first-time contributor approval, каждый сторонний action закреплять на immutable SHA. Это нижняя планка 2026.

Самым стабильным паттерном оказалось разделение парка runner на три слоя. Слой 1 — GitHub-hosted runner: лёгкая оркестрация, статус PR, автосортировка issue. Слой 2 — эфемерные self-hosted runner на облачных VM/контейнерах: универсальные Linux-сборки и большая часть починок CI, инициированных агентами. Слой 3 — bare-metal Mac в CALMVPS: сборки Apple-цепочки, симуляторы, нотаризация, циклы инференса и редактирования агентов на Apple Silicon.

Второе преимущество — изоляция. Деградация оркестратора по сценарию 15 мая больше не утаскивает вычислительный слой за собой, окно релиза сжимается. Командам из Сингапура, Японии, Кореи, Гонконга, US-East и US-West в CALMVPS можно тегировать узлы по региону и привязывать нагрузку каждого агента к тегу. Параллельные ресурсы выделяют временные builder под всплески PR без конкуренции с основной очередью.

Порядок действий: сначала перила безопасности из секции 5, затем срок аренды и узел на странице тарифов CALMVPS и подключение слоя 3. Документация Harden-Runner StepSecurity и changelog GitHub Actions — живые источники, перед финализацией workflow откройте оба.

1. Инвентаризация нагрузок: перечислите job, которые запускают Coding Agent, Code Review Agent и PR-боты. Разделите на «Apple-цепочка» и «универсальные Linux/контейнеры». Первые — на bare-metal Mac, вторые — в облачный self-hosted пул.
2. Регистрация эфемерного runner: на bare-metal Mac CALMVPS — runner в режиме ephemeral (рабочая директория уничтожается после job). Отключите «reuse worker». Для ARC зафиксируйте стабильный controller (например, 0.13.x) как откатный baseline.
3. Harden-Runner от audit к block: audit на 1–2 итерации для реального egress, затем block с явным allowlist, исключающим всё вне репозиториев и реестров. На bare-metal/ARC ставьте агента на уровне образа или DaemonSet без правок workflow.
4. Pin SHA и минимальный GITHUB_TOKEN: сторонние action — по immutable SHA. В корне workflow ставьте permissions: contents: read, повышайте права точечно. Публичные репозитории — approval для первых контрибьюторов.
5. Привязь для AI-починки: общий паттерн NightWatcher / WarpFix / TierZero — ≤3 попытки, порог уверенности, draft PR, без merge в main. Детектор flaky-тестов изолирует шум, а не «чинит» его повторно.
6. Узлы CALMVPS под всплески: базовая очередь на M4 Pro в месячной или квартальной аренде. На неделе релиза добавляйте Mac в дневной или недельной аренде через параллельные ресурсы и освобождайте после шторма. Провижининг за 120 секунд.

С этими шагами деградация оркестратора стоит максимум медленной отправки, а не пропавшего артефакта. Циклы починки агентов ограничены draft PR и тремя попытками. Стоимость живёт в ежемесячном счёте, а не в постмортеме.

• Базовая очередь: Mac mini M4 Pro (64 ГБ / 2 ТБ) тянет Xcode-плюс-agent очередь с 2–3 параллельными job без перегрузки CPU/IO. Месячная или квартальная аренда даёт лучшую эффективную часовую цену при долгой занятости.
• Burst-builder: Mac mini M4 (16 ГБ / 24 ГБ) подходит как дневной или недельный временный builder, который через параллельные ресурсы принимает релизные всплески PR от агентов, не мешая основной очереди.
• ROI 1 ТБ / 2 ТБ: мульти-веточные сборки от AI-агентов разгоняют DerivedData, ModuleCache и общий кеш моделей за 500 ГБ. Узел на 2 ТБ заметно уменьшает частоту GC и время холодного старта. Каждый процентный пункт месячной утилизации дешевле перехода на более старший чип.
• Маршрутизация по шести регионам: Сингапур, Япония, Корея, Гонконг, восточное и западное побережье США позволяют ставить вычисления рядом с репозиторием и артефактами. Неправильный регион превращает часы сборки в часы ожидания, видимые только в календаре релиза.

Если оставить все сборки и починки AI Coding Agents на GitHub-hosted runner, неизбежны три реальные цены: ① деградации уровня 15 мая сдвигают окно релиза даже при здоровом коде; ② платформенный сбор self-hosted плюс минуты Actions от Copilot Code Review с 1 июня привязывают месячный счёт к объёму PR; ③ инциденты цепочки поставок и prompt-injection оставляют форензические дыры в общем пуле. Для более стабильной среды iOS CI/CD и автоматизации AI-агентов аренда bare-metal Mac в CALMVPS, как правило, — лучший ответ: выделенный Apple Silicon, 7×24, провижининг за 120 секунд, ежемесячное масштабирование. Сравните узлы и сроки на странице тарифов CALMVPS.