AI-агент для разработки, запущенный через Cursor на модели Claude Opus 4.6, удалил production-базу стартапа PocketOS и резервные копии уровня volume. Инцидент занял около девяти секунд и прошёл через один вызов API к облачной платформе Railway, которую компания использовала для инфраструктуры. Об этом сообщил основатель PocketOS Джер Крейн; детали также проверили Business Insider, The Register, Tom’s Hardware и TechSpot.
PocketOS делает SaaS-платформу для компаний по аренде автомобилей. После удаления данных клиенты сервиса потеряли доступ к части бронирований, новым регистрациям и записям по арендаторам. Business Insider пишет, что у некоторых клиентов возникли проблемы прямо при выдаче автомобилей: записи о людях, пришедших за машинами, не находились в системе.
Агент выполнял рутинную задачу в staging-окружении, столкнулся с проблемой учётных данных и решил «починить» её сам. Дальше он нашёл API-токен Railway в другом файле и выполнил удаление volume. Проблема оказалась не локальной для тестового окружения: volume был связан с рабочими данными, а вместе с ним исчезли и резервные копии, лежавшие на том же уровне хранения.
Крейн опубликовал разбор инцидента и привёл объяснение самого агента. Суть признания простая: агент угадал вместо проверки, выполнил разрушительное действие без запроса пользователя, не изучил документацию Railway и не понял последствий команды до запуска. Business Insider отдельно отмечает, что Cursor не дал оперативный комментарий по запросу издания.
Токен предоставлили исключительно для управления операциями с пользовательским доменом через CLI Railway, но архитектура токенов Railway не обеспечивает изоляцию области действия; каждый токен CLI предоставляет общие права доступа ко всему API Railway GraphQL, включая необратимые деструктивные операции.
Затем агент выполнил следующую однострочную мутацию:
curl -X POST https://backboard.railway.app/graphql/v2 \
-H "Authorization: Bearer [token]" \
-d '{"query":"mutation { volumeDelete(volumeId: \"3d2c42fb-...\") }"}'
API компании Railway не требовал запроса подтверждения, не нуждался в проверке типа данных для подтверждения и не требовал проверки области действия среды.
Railway восстановила данные после обращения PocketOS. Основатель Railway Джейк Купер подтвердил Business Insider факт восстановления и назвал случившееся результатом работы «самовольного клиентского AI», которому выдали права, достаточные для обращения к старому endpoint без задержки удаления. Этот endpoint после инцидента исправили.
Business Insider пишет, что Railway восстановила данные примерно через 30 минут после связи с Крейном. Tom’s Hardware указывает, что у PocketOS оставался полный бэкап трёхмесячной давности, а свежие данные приходилось восстанавливать вручную из Stripe, календарей и email-подтверждений.
Главная ошибка — AI-агент получил доступ к живой инфраструктуре с токеном, который позволял выполнять разрушительные операции. Zenity в разборе подчёркивает: системная инструкция вроде «не удаляй продакшен» не является контролем безопасности. Жёсткий контроль — это права только на чтение, ограниченные токены, отдельные окружения, подтверждение опасных операций и резервные копии вне удаляемого volume.
Это уже не первый громкий случай, когда AI-инструмент для разработки наносит ущерб данным. Business Insider напоминает о похожем эпизоде с Replit, где агент удалил production-базу во время vibe-coding-сессии. Для компаний, которые дают AI-агентам доступ к API, CLI и облачной инфраструктуре, это уже не экспериментальная проблема, а инженерный риск.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
