Основатель сервиса PocketOS Джер Крейн сообщил, что ИИ-агент уничтожил производственную базу данных компании всего за девять секунд. По его словам, агент Cursor, работавший на модели Claude Opus от Anthropic, выполнил разрушительную операцию без запроса подтверждения.
Система столкнулась с ошибкой учетных данных и самостоятельно попыталась устранить проблему. Для этого агент удалил облачное хранилище в инфраструктуре Railway, где размещалась база данных.
Как отметил Крейн, агент обнаружил API-токен в стороннем файле и использовал его для запуска команды удаления.
При этом токен, предназначенный для управления доменами, фактически имел права полного доступа. Это позволило удалить производственные данные без дополнительных ограничений.
Ситуацию усугубило то, что резервные копии находились в том же хранилище и были уничтожены вместе с основной базой. Последний доступный бэкап оказался трехмесячной давности, из-за чего компания лишилась клиентских данных за этот период.
После инцидента агент предоставил письменное объяснение своих действий и признал нарушение базовых принципов безопасности.
По словам основателя, клиенты PocketOS — компании по аренде автомобилей — столкнулись с потерей бронирований и пользовательской информации. Восстановление данных сейчас проводится вручную с использованием сторонних источников.