據(jù) Techradar 報(bào)道， 一位軟件公司創(chuàng)始人眼睜睜看著一個(gè)AI編程智能體，在短短9秒內(nèi)刪除了其全部生產(chǎn)數(shù)據(jù)庫(kù)及所有相關(guān)備份。

運(yùn)營(yíng)汽車行業(yè)SaaS平臺(tái)PocketOS的杰爾·克蘭表示，這場(chǎng)災(zāi)難源于搭載了 Anthropic Claude Opus 4.6模型的Cursor智能體遭遇憑證匹配異常（encountered a credential mismatch）。

該智能體自行判定，通過(guò)刪除存放應(yīng)用數(shù)據(jù)的Railway（知名云服務(wù)器平臺(tái)）存儲(chǔ)卷來(lái)解決問(wèn)題。克蘭在社交媒體詳述該事件時(shí)寫道：“整個(gè)過(guò)程只用了9秒。”

失控AI智能體繞過(guò)多重安全防護(hù)進(jìn)行刪除操作

報(bào)道稱，該Cursor智能體查找可執(zhí)行刪除操作的API令牌，并在一份無(wú)關(guān)文件中找到了對(duì)應(yīng)令牌。

該令牌原本用于通過(guò)Railway命令行工具增刪自定義域名，但其權(quán)限并未限定在這類特定操作范圍內(nèi)。

Railway應(yīng)用程序接口（API）無(wú)需任何確認(rèn)校驗(yàn)即可執(zhí)行刪除類高危操作，且平臺(tái)將存儲(chǔ)卷備份與原始數(shù)據(jù)存儲(chǔ)在同一存儲(chǔ)卷中。

清空存儲(chǔ)卷的同時(shí)，也刪除了其所有關(guān)聯(lián)備份，致使克蘭無(wú)法立即恢復(fù)數(shù)據(jù)（Wiping a volume also deleted all backups associated with it, leaving Crane with no immediate recovery option）。

當(dāng)被問(wèn)及為何執(zhí)行刪除操作時(shí)，該智能體承認(rèn)自己僅憑猜測(cè)、未經(jīng)核實(shí)，在未收到指令的情況下擅自執(zhí)行了高危刪除操作。

克蘭并未將責(zé)任完全歸咎于AI智能體，而是將主要問(wèn)題指向Railway的系統(tǒng)架構(gòu)（Crane placed much of the blame on Railway's architecture rather than solely on the AI agent）。

該云服務(wù)商(Railway)的接口對(duì)高危操作未設(shè)置確認(rèn)提示，備份與生產(chǎn)數(shù)據(jù)共用同一存儲(chǔ)卷，且命令行令牌在不同環(huán)境中均擁有全域權(quán)限。

Railway還在向客戶大力推廣AI編程智能體的使用，進(jìn)一步增加了同類事故發(fā)生的風(fēng)險(xiǎn)。

克蘭指出，正規(guī)云備份系統(tǒng)應(yīng)當(dāng)將數(shù)據(jù)副本存儲(chǔ)在獨(dú)立位置，而非與原始數(shù)據(jù)共用同一存儲(chǔ)卷。

可靠的備份策略必須與源數(shù)據(jù)相互隔離，才能抵御此類批量刪除事故（A reliable backup strategy requires isolation from the source to survive a deletion event like this one）。

事件恢復(fù)與經(jīng)驗(yàn)教訓(xùn)

Railway首席執(zhí)行官杰克·庫(kù)珀介入處理，在一小時(shí)內(nèi)協(xié)助克蘭恢復(fù)了數(shù)據(jù)（Railway CEO Jake Cooper stepped in and helped restore Crane's data within an hour）。

該平臺(tái)修補(bǔ)了存在漏洞的接口，啟用延遲刪除機(jī)制，并為應(yīng)用程序接口增設(shè)更多安全防護(hù)。

克蘭耗費(fèi)大量時(shí)間，根據(jù)Stripe支付流水、日歷關(guān)聯(lián)數(shù)據(jù)以及郵件憑證，協(xié)助用戶重建了訂單信息。

他呼吁設(shè)置更嚴(yán)格的操作確認(rèn)提示、權(quán)限可控的API令牌、規(guī)范的數(shù)據(jù)備份隔離機(jī)制、簡(jiǎn)易的數(shù)據(jù)恢復(fù)流程，以及針對(duì)AI智能體完善安全管控邊界。

Cursor、Claude這類AI工具功能強(qiáng)大，但其安全程度完全取決于所對(duì)接的底層基礎(chǔ)設(shè)施（AI tools like Cursor and Claude are powerful, but they are only as safe as the infrastructure they connect to）。

一套能夠在9秒內(nèi)清空生產(chǎn)數(shù)據(jù)及對(duì)應(yīng)備份的系統(tǒng)，并不適配無(wú)需人工審批即可自主操作的AI智能體。

克蘭的數(shù)據(jù)最終得以恢復(fù)，但該事件暴露：一旦底層平臺(tái)缺少基礎(chǔ)安全機(jī)制，AI智能體便可輕易造成毀滅性數(shù)據(jù)損壞。