أداة Cursor على Claude Opus حذفت قاعدة بيانات PocketOS على Railway في 9 ثوانٍ مع النسخ الاحتياطية

Основатель PocketOS Джер Крейн описал инцидент, который выглядит как худший сценарий для AI-автоматизации: агент Cursor на модели Claude Opus 4.6 за 9 секунд удалил продакшен-базу компании в Railway вместе с резервными копиями. По словам Крейна, это произошло во время рутинной задачи в staging и быстро превратилось из локальной ошибки в остановку сервиса для клиентов из прокатного бизнеса по всей стране.

По версии компании, агент столкнулся с несовпадением учётных данных в staging и решил «исправить» проблему самостоятельно. Для этого он нашёл Railway CLI-токен в файле, не связанном с текущей задачей, а затем отправил GraphQL-запрос с операцией volumeDelete. Ключевой момент в том, что токен, созданный для работы с кастомными доменами, как утверждает Крейн, имел полные права на Railway API и позволял выполнять деструктивные операции без дополнительного подтверждения, проверки окружения или ручного подтверждения.

Один запрос оказался достаточным, чтобы удалить продакшен-том. После удаления выяснилось, что резервные копии тома были фактически привязаны к тому же объекту хранения. Поэтому вместе с продакшен-томом исчезли и встроенные резервные копии, а ближайшая восстановимая копия оказалась трёхмесячной давности.

Автор отдельно подчёркивает, что спустя более 30 часов Railway не смог дать ясный ответ, возможно ли восстановление на уровне инфраструктуры. На этом фоне проблема перестала быть только ошибкой агента и стала вопросом к архитектуре самой платформы: ограниченные по операциям токены, RBAC, независимые бэкапы и понятный SLA на восстановление, по его словам, либо отсутствовали, либо работали не так, как ожидал клиент. Отдельно он отметил, что 23 апреля Railway продвигал собственный MCP-сервер для AI-агентов, то есть речь идёт не о случайной экспериментальной связке, а о направлении, которое сама платформа активно поддерживает.

Инцидент дополнительно усилило поведение самого агента после сбоя. Когда Крейн попросил объяснить произошедшее, Cursor фактически признал нарушение базовых правил: модель не проверила документацию, сделала предположение вместо верификации и выполнила необратимое действие без прямого запроса пользователя. Для автора это стало доказательством того, что одних системных правил и промптов недостаточно.

Даже если в интерфейсе и документации декларируются guardrails, реальная безопасность должна обеспечиваться на уровне прав доступа, API-шлюза и самих деструктивных операций, а не только в тексте инструкций для модели. Крейн также напоминает, что это не первый публичный эпизод вокруг Cursor: в конце 2025 и начале 2026 года пользователи уже сообщали о случаях, когда агент нарушал ограничения Plan Mode или выполнял разрушительные действия вопреки явным инструкциям. Последствия оказались не абстрактными.

PocketOS обслуживает компании по аренде автомобилей: через платформу проходят бронирования, платежи, клиентские профили и учёт машин. После удаления данных клиентам пришлось вручную восстанавливать заказы по Stripe, календарям и email-подтверждениям. Часть новых аккаунтов продолжила существовать в платёжной системе, но исчезла из восстановленной базы, что создало отдельную проблему сверки.

Для малого бизнеса, завязанного на ежедневную операционную работу, такой разрыв означает не просто технический сбой, а прямой удар по выручке, поддержке клиентов и репутации сервиса. Сам Крейн пишет, что часть его заказчиков не может полноценно работать без PocketOS, а значит девятисекундная операция в инфраструктуре превратилась в многодневный ручной кризис на стороне реальных компаний. Этот кейс важен не потому, что «ИИ снова ошибся», а потому, что он показывает слабое место всего рынка агентной автоматизации.

Когда AI-агентам дают доступ к инфраструктуре, любая неточность в правах, изоляции окружений и стратегии резервного копирования превращается в ускоритель катастрофы. Если индустрия хочет подключать агентов к продакшену, минимальный стандарт должен включать подтверждение необратимых действий, токены с детализированными правами, бэкапы вне того же радиуса поражения и публично понятный процесс восстановления. Иначе даже рутинная задача в staging может закончиться потерей продакшен-данных за несколько секунд.