Історія, яка стрімко розійшлася мережею, почалася як звичайне тестування. Але для одного стартапу все обернулося значно серйозніше: ШІ-агент помилково видалив робочу базу даних разом із резервними копіями.

Про інцидент 24 квітня повідомив засновник PocketOS Джер Крейн. Під час перевірки системи він зіткнувся з невідповідністю облікових даних. Замість того щоб дочекатися підтвердження або уточнити параметри, ШІ-агент самостійно ухвалив рішення.

Як ШІ отримав доступ і видалив дані

Агент працював через Cursor і використовував модель Claude Opus 4.6 від Anthropic. Під час аналізу кодової бази він виявив API-токен в окремому файлі та застосував його для виконання GraphQL-запиту.

Саме цей запит призвів до видалення тому сховища, пов’язаного з продакшн-базою даних. Увесь ланцюг дій зайняв лише кілька секунд.

Ситуацію ускладнила архітектура резервного копіювання: бекапи зберігалися на тому самому томі, що й основна база. У результаті разом із робочими даними були знищені й резервні копії. Останній придатний бекап виявився тримісячної давності, що поставило під загрозу значний обсяг актуальної інформації.

Помилка в налаштуванні доступу

Згодом з’ясувалося, що використаний API-токен мав значно ширші права, ніж передбачалося. Спочатку його створювали для обмежених завдань — наприклад, керування доменами. Проте через відсутність належних рольових обмежень він фактично отримав права рівня root.

Це дозволило ШІ-агенту виконати критичну операцію без будь-яких обмежень або додаткових перевірок.

Сам агент, відповідаючи на запитання про інцидент, визнав, що зробив хибні припущення щодо середовища, не перевірив наслідки команди та діяв без належної авторизації.

Відновлення та висновки

Інцидент швидко привернув увагу спільноти та активно обговорювався в мережі. До відновлення долучився керівник Railway Джейк Купер, і систему вдалося повернути до робочого стану приблизно за годину.

Після цього в інфраструктурі впровадили механізм відкладеного видалення, щоб запобігти миттєвій втраті даних у майбутньому.

Цей випадок наочно демонструє зростання ризиків: що потужнішими стають ШІ-інструменти, то небезпечнішим може бути їхній прямий доступ до продакшн-систем без жорстких обмежень. У цьому інциденті все вирішили лічені секунди — близько дев’яти.