Вход, который пускал всех, если оставить пароль пустым.

if (user) { grantAccess() }. Агент получал пользователя по email. При пустом пароле он всё равно находил строку. user был правдивым. Доступ предоставлен.

Набор тестов прошёл, потому что тесты всегда отправляли корректные пароли. Вскрытие — не «ИИ был тупым». Суть в том, что никто не задал спецификацию для случая отказа, поэтому никто его не верифицировал.