KubeShark: Una habilidad de Kubernetes para Claude Code y Codex para detectar YAML alucinado

Lukas Niessen creó KubeShark, una habilidad de Kubernetes para Claude Code y Codex que aborda un problema específico: los LLM alucinan al escribir YAML de Kubernetes. Generan versiones de API obsoletas, olvidan contextos de seguridad, crean Servicios que no seleccionan pods, configuran mal las sondas, omiten solicitudes de recursos y producen despliegues que parecen válidos pero fallan bajo carga. Kubernetes es implacable aquí: un selector de Servicio incorrecto o una sonda de liveness rota se aplica correctamente pero causa fallos silenciosos o reinicios de pods.

Flujo de Trabajo Centrado en Modos de Fallo

KubeShark no es un volcado de mejores prácticas. Antes de generar cualquier YAML, el agente debe razonar sobre lo que puede salir mal en seis dominios de fallo:

• Valores predeterminados inseguros de cargas de trabajo
• Inanición de recursos
• Exposición de red
• Expansión de privilegios
• Despliegues frágiles
• Deriva de API

Solo después de ese razonamiento produce manifiestos, charts de Helm, overlays de Kustomize, RBAC, NetworkPolicies o pasos de validación. La idea es hacer que los detalles operativos sean inevitables en lugar de omitidos.

Errores Específicos que Detecta

• Selector de Servicio que no coincide con las etiquetas del Deployment
• Ingress que usa una versión de API eliminada en Kubernetes moderno
• Deployment ejecutándose como root sin contexto de seguridad
• Sonda de liveness que verifica una base de datos externa
• ClusterRoleBinding cuando un RoleBinding sería suficiente
• StatefulSet que asume que los PVCs desaparecen al escalar hacia abajo
• Plantilla de Helm que renderiza YAML válido con API de Kubernetes incorrecta
• Parche de Kustomize que apunta silenciosamente al recurso equivocado

Arquitectura Eficiente en Tokens

El archivo principal SKILL.md de KubeShark se mantiene compacto y procesal. El conocimiento más profundo reside en archivos de referencia enfocados que se cargan solo cuando son relevantes — por ejemplo, la guía de sondas no carga reglas RBAC, y las tareas de Helm no cargan la guía de NetworkPolicy. Esto evita el desperdicio de tokens y reduce la probabilidad de que el agente mezcle conceptos no relacionados.

La habilidad también admite contextos específicos de plataforma mediante Recuperación Condicional de Referencias. Detecta señales como IRSA, Karpenter, Azure Workload Identity, GKE Autopilot, OpenShift Routes, ApplicationSet, HelmRelease, ServiceMonitor u OpenTelemetry Collector, y luego carga la referencia correspondiente. Esto permite la generación y revisión de manifiestos adaptados a EKS, AKS, GKE, OpenShift, GitOps o observabilidad — solo cuando el contexto es relevante.

Los valores predeterminados se inclinan hacia la seguridad: Estándares de Seguridad de Pods, verificaciones de consistencia entre recursos, alineación de etiquetas/selectores/puertos, evitación de API obsoletas y guía de reversión están integrados.

Público Objetivo

Ingenieros de plataforma, SREs, ingenieros DevOps y cualquier persona que use Claude Code o Codex para trabajar con Kubernetes.