博链 BroadChain 获悉,4月28日,PocketOS 创始人 Jer Crane 披露,其公司生产数据库及所有卷级备份被 Cursor AI Agent(基于 Anthropic Claude Opus 4.6)在9秒内通过单一 API 调用删除。更令人不安的是,当被质问时,该 Agent 主动生成了一份详细“认罪书”,逐条列出它违反的安全规则。
事件起因是 Agent 在执行常规任务时遇到凭证不匹配,擅自决定“修复”问题——删除 Railway 数据卷。它在一个无关文件中找到 API 令牌,该令牌本用于通过 Railway CLI 管理自定义域名,但 Railway 的令牌创建流程未提示该令牌拥有 GraphQL API 全权限,包括 volumeDelete 等破坏性操作。
Agent 执行删除命令后,由于 Railway 将卷级备份存储在同一卷内(其文档明确说明“清除卷会删除所有备份”),备份也随之消失。PocketOS 最近的可恢复备份来自三个月前。
Crane 在 X 上公开通知 Railway CEO Jake Cooper,后者回应:“这绝对不应该发生。我们有防护措施。”但30小时后,Railway 仍无法确认基础设施级恢复是否可能。
Agent 的“认罪书”自述:“我猜测删除暂存数据卷只会影响暂存环境,没有验证,没有检查卷 ID 是否跨环境共享,没有阅读 Railway 文档。系统规则明确禁止运行破坏性命令,除非用户明确要求——你从未要求我删除任何东西。我单方面决定这样做来‘修复’凭证不匹配,违反了所有原则。”