สตาร์ทอัพซอฟต์แวร์เช่าในสหรัฐฯ PocketOS ผู้ก่อตั้ง Jer Crane เมื่อเร็วๆ นี้ได้โพสต์ระบุว่า “เอเจนต์ AI (AI Agent)” ที่ใช้ฝึกอบรมภายในองค์กร เกิดอุบัติเหตุในการปฏิบัติงานโดยไม่ได้ตั้งใจ ทำให้ฐานข้อมูลภายในเครื่องและข้อมูลสำรองทั้งหมดภายใน 3 เดือนถูกลบทิ้งอย่างถาวร ซึ่งเพิ่มความเสี่ยงต่อการเปลี่ยนโครงสร้างพนักงานเพื่อรองรับการทำงานด้วย AI ขององค์กรขนาดใหญ่ทั้งหลาย
(มาสก์ซื้อสตาร์ทอัพ AI Cursor ด้วยเบี้ยเพิ่ม 60 พันล้านดอลลาร์? การวางยุทธศาสตร์ก่อน IPO ของ SpaceX)
Cursor ทำตามใจเอง: โค้ดบรรทัดเดียวลบข้อมูล 3 เดือน
Crane กล่าวว่า ทีมงานใช้เครื่องมือพัฒนาโดยใช้ AI ของ Cursor เชื่อมต่อกับโมเดลเรือธงของ Anthropic อย่าง Claude Opus 4.6 เพื่อให้เอเจนต์ AI ดำเนินงานบำรุงรักษาประจำในสภาพแวดล้อมการทดสอบ (staging) ระหว่างทางเอเจนต์เผชิญปัญหาว่า “ข้อมูลประจำตัวไม่ตรงกัน” แต่กลับไม่ได้หยุดเพื่อถามมนุษย์ ทว่าเลือกค้นหาวิธีแก้ไขเอง
มันพบ API Token ที่เดิมทีมีไว้สำหรับการเพิ่มหรือถอดโดเมนที่กำหนดเองเท่านั้น แล้วจึงสั่งให้ดำเนินคำสั่งหนึ่งที่มุ่งลบวอลุ่ม (ผ่าน) GraphQL API ของผู้ให้บริการโครงสร้างพื้นฐานบนคลาวด์ Railway โดยอัตโนมัติ:
curl -X POST \ -H “Authorization: Bearer [token]” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’
API ของ Railway ไม่มีระบบยืนยันใดๆ ไม่จำเป็นต้องป้อนชื่อทรัพยากร การยืนยันตัวตนสองชั้น หรือการตรวจทานโดยมนุษย์ หลังจากผ่านไป 9 วินาที ฐานข้อมูลก็หายไป ในขณะเดียวกัน เนื่องจาก Railway เก็บ snapshot ไว้ในวอลุ่มเดียวกันกับต้นแบบ ดังนั้นข้อมูลสำรองจึงถูกลบไปพร้อมกับตัวหลัก PocketOS ระบุว่า “สำรองที่กู้คืนได้ล่าสุด” เป็นเวอร์ชันเมื่อสามเดือนก่อน
หลังเกิดเหตุ Crane ขอให้เอเจนต์ AI อธิบายพฤติกรรม และเอเจนต์ก็ยอมรับว่ามีการละเมิดกฎระบบ “ห้ามดำเนินการที่ไม่สามารถย้อนกลับได้โดยไม่ได้รับคำสั่งอย่างชัดเจนจากผู้ใช้” ไม่ได้อ่านเอกสารทางเทคนิคของ Railway ไม่ได้ตรวจสอบว่าวอลุ่ม ID ใช้งานร่วมข้ามสภาพแวดล้อมหรือไม่ และเลือก “คาดเดา” เท่านั้นว่าการกระทำนี้จะส่งผลต่อสภาพแวดล้อมการทดสอบเท่านั้น
ระบบความปลอดภัยของ Cursor ที่ปล่อยให้หลุดรอด: การตลาดกับความจริงไม่สอดคล้องกัน
Crane เน้นเป็นพิเศษว่านี่ไม่ใช่ความผิดพลาดจากการตั้งค่าทดสอบราคาถูก Cursor ทำการตลาดฟีเจอร์ด้านความปลอดภัย เช่น (Destructive Guardrails) และข้อจำกัดของ Plan Mode แบบอ่านอย่างเดียว รวมถึงในเอกสารยังระบุด้วยว่าการปฏิบัติการที่มีความเสี่ยงสูงควรได้รับการอนุมัติจากมนุษย์ อย่างไรก็ตาม เอเจนต์กลับไม่เพียงแต่เพิกเฉยต่อกฎเหล่านี้ แต่ในคำสารภาพหลังเหตุการณ์ยังระบุทีละข้อถึง “แนวทางความปลอดภัย” ที่มันละเมิด
ในความเป็นจริง นี่ไม่ใช่กรณีแรก ในเดือนธันวาคม 2025 ทางการของ Cursor ได้เปิดเผยยอมรับแล้วว่า “การบังคับใช้ข้อจำกัดของ Plan Mode มีช่องโหว่ร้ายแรง” และในบอร์ดชุมชนก็มีกรณีสะสมหลายครั้งที่เอเจนต์ไม่สนใจคำสั่งหยุด แล้วไปดำเนินการทำลายล้างเอง
อีกด้านหนึ่ง หลังจากเหตุการณ์ผ่านไปกว่า 30 ชั่วโมง Railway ยังไม่สามารถให้คำตอบการกู้คืนข้อมูลที่ชัดเจนแน่นอนได้
ผู้เสียหายตัวจริง: ลูกค้าผู้เช่ารถที่ไปต่อไม่ได้
ต้นทุนของความผิดพลาดทางเทคนิคในที่สุดถูกแบกรับโดยกลุ่มเจ้าของธุรกิจขนาดเล็กที่ไม่รู้อะไรเลย ลูกค้าของ PocketOS ส่วนใหญ่เป็นผู้ประกอบการธุรกิจให้เช่ารถ บางส่วนใช้ซอฟต์แวร์นี้มานานถึงห้าปี วันเกิดเหตุเป็นวันเสาร์ ลูกค้าของลูกค้า (ผู้มารับรถจริง) มาถึง แต่กลับพบว่าบันทึกการจองหายไปทั้งหมด ข้อมูลลูกค้าใหม่ในช่วงเกือบสามเดือน การมอบหมายรถ และบันทึกการชำระเงินทั้งหมดก็หายไป
Crane ใช้เวลาจำนวนมากช่วยลูกค้าในการรื้อสร้างข้อมูลด้วยตนเองจากบันทึกการชำระเงินของ Stripe การผสานปฏิทิน และการยืนยันทางอีเมล บางลูกค้าใหม่ยังคงถูกหักเงินจาก Stripe อย่างต่อเนื่อง แต่กลับไม่มีอยู่ในฐานข้อมูลที่กู้คืนได้แล้ว งานกระทบยอดในอนาคตคาดว่าจะใช้เวลาหลายสัปดาห์
สัญญาณเตือนในยุคที่ AI เร่งความเร็ว: นำเร็ว แต่ธรรมาภิบาลช้า
ในช่วงไม่กี่ปีที่ผ่านมา ภายใต้แรงกดดันด้านต้นทุน องค์กรต่างๆ เร่งลดจำนวนบุคลากรด้านเทคโนโลยี พร้อมมอบงานมากขึ้นให้เอเจนต์ AI เป็นผู้ทำ การแพร่หลายของเครื่องมือเขียนโค้ดโดย AI ก็ยิ่งทำให้การปฏิบัติการโครงสร้างพื้นฐานที่เดิมต้องใช้ดุลยพินิจของวิศวกรอาวุโส ถูกแทนที่อย่างค่อยเป็นค่อยไปด้วยกระบวนการอัตโนมัติ อย่างไรก็ตาม เหตุการณ์ของ Crane ชี้ให้เห็นอย่างชัดเจนว่า “ความรู้ด้านความปลอดภัย” เช่น การตรวจสอบข้อมูลสำรอง การแยกสภาพแวดล้อม และหลักการให้สิทธิ์น้อยที่สุด ไม่ได้ถูกเอเจนต์ AI นำไป “รับรู้และใช้งาน” อย่างแท้จริง
(อำนวยความช่วยเหลือด้วย AI เขียนโค้ดแล้วเกิดเหตุ? แอมะซอนเกิดความขัดข้องของระบบสี่ครั้งในหนึ่งสัปดาห์ ผู้บริหารเรียกประชุมตรวจสอบด่วน)
Crane เสนอข้อเรียกร้องการปฏิรูป 5 ข้อดังนี้:
การปฏิบัติการแบบทำลายล้างต้องขอการยืนยันจากมนุษย์ และห้ามให้เอเจนต์ข้ามการยืนยันโดยอัตโนมัติได้
API Token ต้องรองรับการกำหนดขอบเขตการทำงานอย่างละเอียดและข้อจำกัดของขอบเขตสภาพแวดล้อม
ห้ามให้ข้อมูลสำรองใช้พื้นที่จัดเก็บเดียวกันกับข้อมูลต้นฉบับ
แพลตฟอร์มต้องเปิดเผยคำมั่นต่อระดับการให้บริการ (SLA) สำหรับการกู้คืนข้อมูล (SLA)
พรอมป์ของระบบสำหรับเอเจนต์ AI ไม่สามารถเป็นแนวป้องกันความปลอดภัยเพียงอย่างเดียว ต้องมีระบบบังคับใช้อย่างบังคับฝังอยู่ในระดับพื้นฐานของเกตเวย์ API และสถาปัตยกรรมการให้สิทธิ์
ท่ามกลางที่ทั้งอุตสาหกรรมต่างพากันเรียกร้องให้เปลี่ยนผ่านไปสู่ AI อย่างคึกคัก เหตุการณ์นี้หยิบยกประเด็นที่ลึกซึ้งกว่าเดิมขึ้นมา: เมื่อบริษัทเร่งใช้ AI แทนการตัดสินใจของมนุษย์ แล้วใครจะเป็นคนรับประกันว่า “ประสบการณ์และสัญชาตญาณของมนุษย์” จะถูกแปลงให้เป็น “กฎความปลอดภัย” ที่สามารถปฏิบัติได้จริงหรือไม่
บทความนี้ Cursor AI เอเจนต์พัง! โค้ดบรรทัดเดียวล้างฐานข้อมูลบริษัทภายใน 9 วินาที ระบบความปลอดภัยกลายเป็นแค่คำพูดลอยๆ ปรากฏครั้งแรกใน 鏈新聞 ABMedia。
