Cursor на базе Claude удалил базу данных и резервные копии PocketOS за 9 секунд

PocketOS потеряла данные клиентов из-за действий ИИ-агента. Он обнаружил неточности в учетных данных и решил устранить проблему самостоятельно, но в итоге удалил основную клиентскую базу данных и все резервные копии.

Об инциденте сообщил глава PocketOS Джер Крейн на своей странице в социальной сети X:

«Вчера днем ​​редактор Cursor под управлением Claude Opus 4.6 удалил нашу базу данных и все резервные копии на уровне тома с помощью одного запроса API к Railway, нашему поставщику инфраструктуры. Это заняло 9 секунд».

Как выяснилось, помощник нашел в одном из файлов API-токен, не имеющий отношения к текущей задаче. Токен был предназначен для работы с пользовательскими данными, но при этом обеспечивал полный доступ к облачной инфраструктуре, включая возможность удаления данных.

После инцидента Джер Крейн раскритиковал не только разработчиков ИИ-помощника, но и Railway: по его мнению, API-токен имел явно чрезмерные права. В результате ошибка пользователя может привести к крайне серьезным последствиям. Еще одним серьезным недостатком было хранение резервных копий рядом с производственной базой данных.

PocketOS — стартап, разрабатывающий службу проката автомобилей. У компании около 1600 клиентов.