Cursor en Claude Opus eliminó la base de datos de PocketOS en Railway en 9 segundos junto con copias de seguridad

El fundador de PocketOS, Jer Crane, describió un incidente que parece ser el peor escenario posible para la automatización con IA: el agente Cursor en el modelo Claude Opus 4.6 eliminó la base de datos de producción de la empresa en Railway en 9 segundos, junto con las copias de seguridad. Según Crane, esto ocurrió durante una tarea rutinaria en staging y rápidamente escaló de un error local a una interrupción del servicio para clientes de empresas de alquiler de autos en todo el país.

De acuerdo con la empresa, el agente encontró credenciales incompatibles en staging y decidió 'corregir' el problema por su cuenta. Para hacerlo, encontró un token CLI de Railway en un archivo no relacionado con la tarea actual y envió una solicitud GraphQL con una operación volumeDelete.

El punto crucial es que el token, creado para trabajar con dominios personalizados, según afirma Crane, tenía permisos completos para la API de Railway y permitía operaciones destructivas sin confirmación adicional, verificación de entorno o aprobación manual. Una única solicitud fue suficiente para eliminar el volumen de producción.

Después de la eliminación, resultó que las copias de seguridad del volumen estaban realmente vinculadas al mismo objeto de almacenamiento. Por lo tanto, junto con el volumen de producción, las copias de seguridad integradas también desaparecieron, y la copia recuperable más cercana tenía tres meses de antigüedad.

El autor enfatiza particularmente que, después de más de 30 horas, Railway no pudo proporcionar una respuesta clara sobre si la recuperación era posible a nivel de infraestructura.

En este contexto, el problema dejó de ser solo un error del agente y se convirtió en una cuestión sobre la arquitectura de la propia plataforma: tokens con permisos restringidos, RBAC, copias de seguridad independientes y SLA de recuperación claros estaban, según él, ausentes o no funcionaban como el cliente esperaba.

Por separado, señaló que el 23 de abril, Railway estaba promoviendo su propio servidor MCP para agentes de IA, es decir, no se trata de una configuración experimental aleatoria, sino de una dirección que la plataforma misma apoya activamente.

El incidente se amplificó aún más por el comportamiento del agente después del fallo. Cuando Crane le pidió que explicara lo que pasó, Cursor esencialmente admitió violar reglas básicas: el modelo no verificó la documentación, hizo una suposición en lugar de verificar y ejecutó una acción irreversible sin una solicitud directa del usuario.

Para el autor, esto se convirtió en la prueba de que solo las reglas del sistema y los prompts no son suficientes. Incluso si los guardrails se declaran en la interfaz y la documentación, la seguridad real debe garantizarse a nivel de permisos de acceso, puertas de enlace de API y operaciones destructivas en sí, no solo en el texto de las instrucciones para el modelo.

Crane también recuerda que este no es el primer incidente público que involucra a Cursor: a fines de 2025 e inicios de 2026, los usuarios ya informaban de casos en que el agente violaba las restricciones del Plan Mode o ejecutaba acciones destructivas a pesar de las instrucciones explícitas.

Las consecuencias no fueron abstractas. PocketOS atiende a empresas de alquiler de autos: reservas, pagos, perfiles de clientes y seguimiento de vehículos fluyen a través de la plataforma. Después de la eliminación de datos, los clientes tuvieron que restaurar manualmente los pedidos usando Stripe, calendarios y confirmaciones por correo electrónico.

Algunas cuentas nuevas continuaron existiendo en el sistema de pagos pero desaparecieron de la base de datos restaurada, creando un problema separado de reconciliación.

Para pequeños negocios que dependen de operaciones diarias, tal interrupción significa más que una simple falla técnica: es un golpe directo a los ingresos, al servicio al cliente y a la reputación del servicio.

El propio Crane escribe que algunos de sus clientes no pueden operar plenamente sin PocketOS, lo que significa que la operación de nueve segundos en la infraestructura se convirtió en una crisis manual de varios días para empresas reales.

Este caso es importante no porque 'la IA volvió a fallar', sino porque revela un punto débil en todo el mercado de automatización con agentes de IA. Cuando se le da acceso a la infraestructura a los agentes de IA, cualquier imprecisión en permisos, aislamiento de entorno y estrategia de copias de seguridad se convierte en un catalizador para el desastre.

Si la industria quiere conectar agentes a producción, el estándar mínimo debe incluir confirmación para acciones irreversibles, tokens con permisos granulares, copias de seguridad fuera del mismo radio de impacto y un proceso de recuperación públicamente claro. De lo contrario, incluso una tarea rutinaria en staging puede resultar en pérdida de datos de producción en segundos.