On-call AI agent: диагностика + auto-remediation PR

AI-агент дежурит вместе с on-call инженером: читает алерты из Slack и observability-стека, собирает диагностический контекст и готовит pull request с исправлением. Он не заменяет дежурного, а первым реагирует на инцидент — чтобы к моменту эскалации был собран контекст и в известных случаях уже предложен fix. В продуктивном режиме это снимает с команды 675 часов в месяц и закрывает 28 PR без участия человека.

Что делает агент

1. Слушает канал дежурных и webhook'и мониторинга — ловит новый алерт за секунды, а не после того как инженер откроет уведомление.
2. Извлекает stack trace, метрики, ссылки на связанные дашборды и последние деплои, чтобы собрать полную картину.
3. Ищет похожие инциденты в истории Slack-тредов и runbook'ах — вытаскивает знания, которые обычно остаются в головах опытных инженеров.
4. Формулирует гипотезу о причине инцидента и публикует её в тред первым сообщением с указанием confidence-уровня.
5. Если инцидент соответствует известному паттерну — открывает pull request с исправлением и назначает ревьюеров.
6. Прикрепляет к PR доказательства: логи, трейс, ссылки на похожие случаи, diff с предыдущими фиксами.
7. Остаётся в треде и отвечает на уточнения дежурного, пока инцидент не закрыт — один источник правды вместо ручного копирования контекста.
8. После резолюции пишет короткий postmortem-черновик и фиксирует новый паттерн для будущих инцидентов — база знаний пополняется автоматически.

Дежурный переключает контекст реже: вместо цепочки «алерт → метрики → код → Slack → репозиторий» он читает готовую сводку и принимает решение. По данным референсного внедрения, 66% предложений агента получают positive feedback, стоимость одного взаимодействия — $0,30.

Чего агент НЕ делает

• Не мержит pull request без approve человека — все изменения проходят стандартный code review и CI.
• Не тушит инциденты, для которых нет документированного runbook или похожего предыдущего случая — эскалирует дежурному с уже собранным контекстом.
• Не принимает архитектурные решения, не рефакторит компоненты и не трогает код вне разрешённых сервисов — только точечные фиксы по известным паттернам.

Агент построен на паттерне многошаговой оркестрации: LLM управляет циклом «наблюдение → гипотеза → действие → проверка» до тех пор, пока не найдёт решение или не примет решение эскалировать. Ядро — языковая модель с tool use через agent framework.

Архитектура

Агент работает в трёх интеграционных слоях, каждый со своими tool calls:

Поток обработки инцидента

1. Triggering event. Алерт из observability-системы попадает в Slack-канал дежурных. Webhook передаёт событие агенту с payload: severity, сервис, метрика.
2. Context gathering. Агент делает серию tool calls: читает последние строки логов, график метрики за 24 часа, deploy history за последние 6 часов.
3. Pattern search. Агент векторным поиском по истории Slack-инцидентов и runbook'ов находит похожие случаи с их резолюциями.
4. Hypothesis. LLM формулирует гипотезу вида «повышенная latency на service X вызвана релизом Y — роллбек или hotfix Z» с оценкой уверенности.
5. Diagnosis post. Агент публикует первое сообщение в тред: summary, гипотеза, ссылки на доказательства. Дежурный видит сводку, а не сырые логи.
6. Remediation path. Если паттерн известен и confidence высокий — агент создаёт ветку, применяет fix по шаблону, открывает PR с описанием и назначает ревьюеров. Если нет — останавливается и просит дежурного подтвердить направление.
7. Human-in-the-loop. Дежурный читает PR, принимает или запрашивает изменения. Агент реагирует на комментарии: добавляет логи, правит fix, объясняет выбор.
8. Post-mortem draft. После инцидента агент собирает timeline — что случилось, что сделано, сколько времени — и кладёт черновик в канал для редактирования.

Как разворачивается на проекте

1. Подключение observability: webhook из Datadog, Grafana, New Relic, Sentry или Prometheus Alertmanager на сервис агента.
2. Интеграция с repository: GitHub App или GitLab access token с правами create branch, open PR, read commit history.
3. Установка Slack-бота в канал дежурных: чтение событий, запись ответов, threading.
4. Импорт исторических инцидентов: парсинг Slack-тредов и существующих runbook'ов в векторный индекс — ядро знаний агента.
5. Определение паттернов auto-remediation: список инцидент-типов, где агенту разрешено открывать PR (rollback deploy, изменение feature flag, bump лимитов).
6. Guardrails: список сервисов и репозиториев, где агент только читает, и отдельный список, где может писать.
7. Пилот: неделя в режиме «агент пишет только диагностику, без PR». Команда оценивает качество гипотез.
8. Расширение: после стабильного positive feedback включаются auto-remediation паттерны по одному.

Где кроется ценность

Агент превращает три пары рук в одного первого респондера, который всегда онлайн. По данным референсного внедрения, 28 PR в месяц мерджатся без участия человека — это низкорискованные фиксы, которые раньше занимали время старших инженеров и вытягивали их из текущих задач.

Для запуска On-call AI agent команде нужны три группы готовности: доступы, исторические данные и операционный процесс. Без них пилот уходит в отладку интеграций вместо реальной работы с инцидентами.

Доступы и интеграции

• Observability-стек с webhook'ами: Datadog, Grafana, New Relic, Sentry или Prometheus Alertmanager.
• Git-репозиторий с настроенным CI и code review (GitHub, GitLab, Bitbucket).
• Slack или аналог с каналом дежурных и правом установки бота.
• Техническое согласование: read-only для большинства репозиториев, write (create branch + open PR) для списка разрешённых.

Исторические данные

• Slack-треды по инцидентам за последние 6–12 месяцев — чем больше, тем точнее работает паттерн-матчинг.
• Runbook'и в любом формате (Confluence, Notion, markdown в репозитории).
• Список известных auto-remediation паттернов: какие типы инцидентов команда готова доверить агенту (rollback, feature-flag toggle, bump лимитов).

Готовность команды

• On-call rotation уже налажен: есть дежурный и процесс эскалации.
• Code review обязателен для всех PR — агент не мержит сам.
• Выделен владелец: senior SRE или tech lead, который валидирует паттерны и разбирает false positives в первые недели.

Сроки внедрения

Комплексность — средняя. Полный запуск от контракта до продакшна — 6–10 недель:

1. Недели 1–2: интеграции, доступы, индексация истории инцидентов.
2. Недели 3–5: пилот в диагностическом режиме, настройка паттернов.
3. Недели 6–8: включение auto-remediation по одному паттерну, калибровка.
4. Недели 9–10: передача команде и playbook владельца.