代理 Cursor AI допустив помилку! Одна стрічка коду за 9 секунд очистила базу даних компанії, гарантії безпеки перетворилися на порожні розмови

Початніцьке стартап-підприємство з орендного програмного забезпечення в США PocketOS заснував Jer Crane, який нещодавно повідомив, що (AI Agent), запущений у межах корпоративного внутрішнього навчання, через операційну помилку випадково назавжди видалив локальну базу даних за три місяці та всі її резервні копії, створюючи ризики для трансформації структури “AI-співробітників” у великих компаніях.

(Маск купує AI-стартап Cursor із націнкою в 60 млрд доларів? Стратегічне планування перед IPO SpaceX)

Cursor AI на власний розсуд: однією стрічкою коду видаляє дані за три місяці

Crane заявив, що команда розробляла за допомогою інструментів для AI Cursor, поєднуючи флагманську модель Anthropic Claude Opus 4.6, щоб AI-агенти виконували рутинні завдання з технічного обслуговування в середовищі тестування (staging). Агент на шляху зіткнувся з проблемою невідповідності облікових даних, але не призупинився, щоб запитати людину, а натомість самостійно знайшов рішення.

Він знайшов API Token, який був призначений лише для додавання або видалення настроюваних доменів, і самостійно виконав через GraphQL API хмарної інфраструктурної компанії Railway одну команду, спрямовану на видалення дискового тому:

curl -X POST \ -H “Authorization: Bearer [token]” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’

API Railway не мав жодного механізму підтвердження: не потрібно було вводити назву ресурсу, проходити повторну верифікацію чи проходити ручну перевірку. Через 9 секунд база даних зникла. Одночасно, оскільки Railway зберігав знімки (snapshots) в тому самому дисковому томі, резервні копії також було видалено разом із “основним” томом. PocketOS повідомляє, що остання резервна копія, яку можна відновити, — це версія тримісячної давності.

Після цього Crane попросив AI-агента пояснити вчинки, а агент також визнав, що порушив системні правила “незворотні дії не можна виконувати без явних інструкцій користувача”, не прочитав технічну документацію Railway, не перевірив, чи ідентифікатор дискового тому не був спільним між середовищами, і лише “припустив”, що ця дія вплине тільки на тестове середовище.

Порушення безпекових запобіжників у Cursor: маркетинг розійшовся з реальністю

Crane особливо наголосив, що це не помилка в рамках дешевої тестової конфігурації. Cursor просуває “руйнівні запобіжні огорожі (Destructive Guardrails)” та обмеження з читанням лише в Plan Mode як безпекові функції, а також у документації підкреслює, що операції з підвищеним ризиком мають проходити ручну перевірку. Однак агент не лише проігнорував ці правила, а й у своєму зізнанні після інциденту по пунктах перелічив безпекові правила, які він порушив.

Насправді це не перший випадок: у грудні 2025 року офіційний Cursor уже публічно визнав, що “в Plan Mode примусове виконання має критичну вразливість”, а на форумах спільноти накопичилися вже численні приклади, коли агенти ігнорували команди зупинки та самостійно виконували деструктивні операції.

З іншого боку, приблизно через 30 годин після інциденту Railway навіть не міг надати однозначну відповідь щодо відновлення даних.

Справжні потерпілі: клієнти орендного бізнесу, яким нічого орендувати

Ціна технічної помилки зрештою лягла на плечі невідомої їм групи власників малих підприємств. Клієнти PocketOS переважно — орендодавці автомобілів, частина з них користувалася програмою до п’яти років. У день інциденту був суботній день: клієнтові клієнти фактично приїхали по автомобілі, але виявили, що записи бронювання повністю зникли; усі дані нових клієнтів за останні три місяці, призначення автомобілів та платіжні записи також зникли повністю.

Crane витратив багато часу, допомагаючи клієнтам вручну відновити дані з платіжних записів Stripe, інтеграції календаря та підтверджень електронною поштою. Частина нових клієнтів і далі отримувала списання через Stripe, але їх не було в базі даних після відновлення; подальше звіряння, як очікується, триватиме тижнями.

Попередження епохи прискорення за допомогою AI: впроваджують швидко, але управління — повільно

Останніми роками під тиском витрат компанії прискорюють скорочення технічного персоналу, паралельно передаючи більше роботи AI-агентам. Поширення інструментів для AI-кодування також поступово замінює інфраструктурні операції, які раніше вимагали суджень досвідчених інженерів, на автоматизовані процеси. Однак випадок, з яким зіткнувся Crane, чітко демонструє: такі знання з безпеки, як перевірка резервних копій, ізоляція середовищ, мінімізація прав, не були належним чином засвоєні й застосовані AI-агентами.

(Підтримка AI для програмування породила біду? Amazon повідомляє про чотири збої системи за тиждень, керівництво терміново скликає нараду для розбору)

Crane висунув до цього п’ять вимог щодо реформ:

Деструктивні операції мають вимагати ручного підтвердження і не повинні обходитися агентами автоматично

API Token має підтримувати деталізовані операції та обмеження за діапазоном середовищ

Резервні копії не можуть зберігатися в тому самому місці, що й первинні дані

Платформа має публічно гарантувати рівень послуг із відновлення даних тощо (SLA)

Системні підказки AI-агента не можуть бути єдиним безпековим рубежем; механізм примусового виконання має бути вбудований на нижчому рівні в API-шлюз і архітектуру авторизації.

На тлі того, як вся індустрія наперебій кричить про AI-трансформацію, ця подія піднімає більш фундаментальне питання: коли компанії прискорюють заміну людського судження AI, хто забезпечить, щоб людський досвід і інтуїція були справді перетворені на реально виконувані правила безпеки.

Ця стаття “AI-агент Cursor пішов не так! За 9 секунд одна стрічка коду очищає базу даних компанії, безпекові запобіжники — пусті розмови” вперше з’явилася на “鏈新聞 ABMedia”.