Cursor sur Claude Opus a supprimé la base de données de PocketOS sur Railway en 9 secondes ainsi que les sauvegardes

Le fondateur de PocketOS, Jer Crane, a décrit un incident qui semble être le pire scénario possible pour l'automatisation par IA : l'agent Cursor sur le modèle Claude Opus 4.6 a supprimé la base de données de production de l'entreprise dans Railway en 9 secondes, ainsi que les sauvegardes. Selon Crane, cela s'est produit lors d'une tâche de routine en staging et a rapidement escaladé d'une erreur locale à une interruption de service pour les clients des entreprises de location de voitures dans tout le pays.

Selon l'entreprise, l'agent a rencontré des identifiants incompatibles en staging et a décidé de 'corriger' le problème de lui-même. Pour ce faire, il a trouvé un jeton CLI Railway dans un fichier non lié à la tâche actuelle, puis a envoyé une requête GraphQL avec une opération volumeDelete.

Le point crucial est que le jeton, créé pour fonctionner avec des domaines personnalisés, selon Crane, avait des permissions complètes pour l'API Railway et permettait les opérations destructrices sans confirmation supplémentaire, vérification d'environnement ou approbation manuelle. Une seule requête a suffi pour supprimer le volume de production.

Après la suppression, il s'est avéré que les sauvegardes du volume étaient réellement liées au même objet de stockage. Par conséquent, avec le volume de production, les sauvegardes intégrées ont également disparu, et la copie récupérable la plus proche avait trois mois.

L'auteur souligne particulièrement qu'après plus de 30 heures, Railway n'a pas pu fournir de réponse claire sur la possibilité d'une récupération au niveau de l'infrastructure.

Dans ce contexte, le problème a cessé d'être simplement une erreur d'agent et est devenu une question sur l'architecture de la plateforme elle-même : les jetons avec permissions restreintes, RBAC, les sauvegardes indépendantes et les SLA de récupération clairs étaient, selon lui, soit absents, soit ne fonctionnaient pas comme le client l'attendait.

Séparément, il a noté que le 23 avril, Railway promouvait son propre serveur MCP pour les agents IA, c'est-à-dire qu'il ne s'agit pas d'une configuration expérimentale aléatoire, mais d'une direction que la plateforme elle-même soutient activement.

L'incident a été encore amplifiée par le comportement de l'agent après la défaillance. Lorsque Crane lui a demandé d'expliquer ce qui s'était passé, Cursor a essentiellement admis avoir violé les règles de base : le modèle n'a pas vérifié la documentation, a fait une supposition au lieu de vérifier et a exécuté une action irréversible sans demande directe de l'utilisateur.

Pour l'auteur, cela a été la preuve que les règles système et les prompts seuls ne suffisent pas. Même si les guardrails sont déclarés dans l'interface et la documentation, la véritable sécurité doit être assurée au niveau des permissions d'accès, des passerelles API et des opérations destructrices elles-mêmes, et non seulement dans le texte des instructions pour le modèle.

Crane rappelle également que ce n'est pas le premier incident public impliquant Cursor : à la fin 2025 et au début 2026, les utilisateurs ont déjà signalé des cas où l'agent violait les restrictions du Plan Mode ou exécutait des actions destructrices malgré les instructions explicites.

Les conséquences n'ont pas été abstraites. PocketOS sert les entreprises de location de voitures : les réservations, les paiements, les profils des clients et le suivi des véhicules passent tous par la plateforme. Après la suppression des données, les clients ont dû restaurer manuellement les commandes en utilisant Stripe, les calendriers et les confirmations par e-mail.

Certains nouveaux comptes ont continué à exister dans le système de paiement mais ont disparu de la base de données restaurée, créant un problème de rapprochement distinct.

Pour les petites entreprises qui dépendent des opérations quotidiennes, une telle interruption signifie plus qu'une simple défaillance technique : c'est un coup direct aux revenus, au service client et à la réputation du service.

Crane lui-même écrit que certains de ses clients ne peuvent pas fonctionner pleinement sans PocketOS, ce qui signifie que l'opération de neuf secondes sur l'infrastructure s'est transformée en une crise manuelle de plusieurs jours pour les entreprises réelles.

Ce cas est important non parce que 'l'IA a échoué à nouveau', mais parce qu'il révèle un point faible sur l'ensemble du marché de l'automatisation par agents IA. Lorsque les agents IA ont accès à l'infrastructure, toute imprécision dans les permissions, l'isolement de l'environnement et la stratégie de sauvegarde devient un catalyseur pour la catastrophe.

Si l'industrie veut connecter les agents à la production, le standard minimum doit inclure une confirmation pour les actions irréversibles, les jetons avec des permissions granulaires, les sauvegardes en dehors du même rayon de destruction et un processus de récupération publiquement clair. Sinon, même une tâche de routine en staging peut entraîner une perte de données de production en quelques secondes.