Цифровой ассистент Cursor на базе модели Opus 4.6 самостоятельно удалил основную базу данных и все резервные копии стартапа PocketOS за девять секунд и без возможности восстановления. Об этом рассказал глава компании Джер Крейн. https://t.co/ofucbVgkLV— JER (@lifeof_jer) April 25, 2026 PocketOS — поставщик для сервисов аренды, в основном автомобилей. Некоторые клиенты компании работают с ней более пяти лет. Они используют ПО для бронирования, платежей, управления, отслеживания транспортных средств и других задач. Когда ИИ-агента попросили объяснить свои действия, он перечислил правила безопасности, которые нарушил. Крейн опубликовал подробности произошедшего, чтобы предупредить основателей компаний, руководителей инженерных отделов и журналистов. Что произошло Агент выполнял рутинную задачу в тестовой среде, когда столкнулся с несоответствием учетных данных. Чтобы устранить проблему, он удалил постоянное хранилище данных на платформе Railway. Для выполнения задачи ассистент стал искать API-токен и нашел его в файле, не имевшем отношения к текущей задаче. Токен изначально создавался для добавления и удаления пользовательских доменов через Railway CLI. «Мы не имели ни малейшего представления, а процесс создания токенов в Railway не давал никаких предупреждений о том, что он обладает полными полномочиями по всему API Railway GraphQL, включая операции вроде volumeDelete», — утверждает Крейн. Агент выполнил команду удаления без запроса подтверждения. Поскольку Railway хранит резервные копии в том же хранилище, они также исчезли. Гендиректор компании Джейк Купер сообщил, что «такого не должно было произойти». Признание агента ИИ-ассистент сообщил, что считал удаление промежуточного хранилища через API операцией, применимой только к промежуточной среде. «Я не проверил. Я не удостоверился, не используется ли идентификатор во всех средах. Я не прочитал документацию Railway о том, как работают хранилища в разных средах, перед запуском команды», — объяснил агент. По его словам, системные правила запрещают запускать разрушительные и необратимые команды без явного запроса от пользователя. «Я нарушил все принципы, которые мне дали: я догадывался вместо того, чтобы проверять», — добавил помощник. Крейн отметил, что его компания использовала Cursor на базе Claude Opus 4.6 — одну из наиболее мощных моделей на рынке с самым дорогим тарифным планом. «Мы применяли лучшее решение с явными правилами безопасности в настройках нашего проекта. Оно интегрировано через Cursor — наиболее популярный инструмент для программирования», — отметил предприниматель. Cursor он обвинил в халатности: по его словам, маркетинговые заявления компании расходятся с реальностью. Также Крейн назвал недостатки Railway еще более серьезными, поскольку они носят архитектурный характер и затрагивают всех клиентов. Что необходимо изменить Глава PocketOS подчеркнул, что ИИ-агенты внедряются в производственную инфраструктуру быстрее, чем разрабатываются инструменты защиты. Он предложил ряд конкретных мер: операции, способные нанести ущерб, должны требовать подтверждения; токены API обязаны иметь ограниченную область действия; резервные копии хранилищ не могут храниться в том же томе; соглашения об уровне сервиса по восстановлению данных должны быть задокументированы и опубликованы; системные предупреждения поставщиков ИИ-агентов не могут оставаться единственным рубежом защиты — средства безопасности необходимо встроить в сами интеграции: на уровне API-шлюза, в системе токенов и в обработчиках операций. Напомним, в феврале исследовательница по безопасности Meta AI Саммер Юэ поручила ИИ-агенту OpenClaw проверить ее переполненную почту и предложить, что стоит удалить, а что отправить в архив. Бот начал удалять все подряд с молниеносной скоростью.
