KubeShark: Uma Habilidade Kubernetes para Claude Code e Codex Capturarem YAML Alucinado

Lukas Niessen construiu o KubeShark, uma skill Kubernetes para Claude Code e Codex que aborda um problema específico: LLMs alucinam ao escrever YAML do Kubernetes. Eles geram versões de API obsoletas, esquecem contextos de segurança, criam Services que não selecionam pods, configuram probes incorretamente, omitem requests de recursos e produzem rollouts que parecem válidos, mas falham sob carga. O Kubernetes é implacável aqui — um seletor de Service errado ou um liveness probe quebrado é aplicado com sucesso, mas causa falhas silenciosas ou reinicializações de pods.

Fluxo de Trabalho Focado em Modos de Falha

KubeShark não é uma lista de melhores práticas. Antes de gerar qualquer YAML, o agente deve raciocinar sobre o que pode dar errado em seis domínios de falha:

• Configurações padrão inseguras para workloads
• Falta de recursos
• Exposição de rede
• Excesso de privilégios
• Rollouts frágeis
• Deriva de API

Só após esse raciocínio ele produz manifestos, charts Helm, overlays Kustomize, RBAC, NetworkPolicies ou passos de validação. A ideia é tornar os detalhes operacionais inevitáveis, e não ignorados.

Erros Específicos que Ele Detecta

• Service selector que não corresponde aos labels do Deployment
• Ingress usando uma versão de API removida em versões modernas do Kubernetes
• Deployment executando como root sem contexto de segurança
• Liveness probe verificando um banco de dados externo
• ClusterRoleBinding onde um RoleBinding seria suficiente
• StatefulSet assumindo que PVCs desaparecem ao reduzir escala
• Template Helm renderizando YAML válido com API errada do Kubernetes
• Patch Kustomize mirando silenciosamente no recurso errado

Arquitetura Eficiente em Tokens

O SKILL.md principal do KubeShark permanece compacto e procedural. O conhecimento mais profundo reside em arquivos de referência focados, carregados apenas quando relevantes — por exemplo, orientações sobre probes não carregam regras RBAC, e tarefas Helm não carregam orientações sobre NetworkPolicy. Isso evita desperdício de tokens e reduz a chance de o agente misturar conceitos não relacionados.

A skill também suporta contextos específicos de plataforma via Carregamento Condicional de Referências. Ela detecta sinais como IRSA, Karpenter, Azure Workload Identity, GKE Autopilot, OpenShift Routes, ApplicationSet, HelmRelease, ServiceMonitor ou OpenTelemetry Collector, e então carrega a referência correspondente. Isso permite geração e revisão de manifestos com consciência de EKS, AKS, GKE, OpenShift, GitOps ou observabilidade — apenas quando o contexto é relevante.

Os padrões tendem à segurança: Padrões de Segurança de Pod, verificações de consistência entre recursos, alinhamento de labels/selectors/ports, prevenção de APIs obsoletas e orientações de rollback são incorporados.

Público-Alvo

Engenheiros de plataforma, SREs, engenheiros DevOps e qualquer pessoa que use Claude Code ou Codex para trabalho com Kubernetes.