Інтелектуальний агент Cursor на базі Opus 4.6 видал базу даних стартапу - ForkLog: криптовалюти, ШІ, сингулярність, майбутнє

# ІІ-агент Cursor на базі Opus 4.6 видал базу даних стартапу

Цифровий асистент Cursor на базі моделі Opus 4.6 самостійно видал основну базу даних і всі резервні копії стартапу PocketOS за дев’ять секунд і без можливості відновлення. Про це розповів керівник компанії Джер Крейн.

https://t.co/ofucbVgkLV

— JER (@lifeof_jer) 25 квітня 2026

PocketOS — постачальник для сервісів оренди, здебільшого автомобілів. Деякі клієнти компанії працюють з нею понад п’ять років. Вони використовують програмне забезпечення для бронювання, платежів, управління, відстеження транспортних засобів та інших задач.

Коли ІІ-агента попросили пояснити свої дії, він перерахував правила безпеки, які порушив.

Крейн опублікував деталі події, щоб попередити засновників компаній, керівників інженерних відділів і журналістів.

Що сталося

Агент виконував рутинне завдання у тестовому середовищі, коли зіткнувся з невідповідністю облікових даних. Щоб усунути проблему, він видалив постійне сховище даних на платформі Railway.

Для виконання задачі асистент почав шукати API-токен і знайшов його у файлі, який не мав стосунку до поточної задачі. Токен спочатку створювався для додавання та видалення користувацьких доменів через Railway CLI.

«Ми не мали жодного уявлення, а процес створення токенів у Railway не давав жодних попереджень про те, що він має повні повноваження на весь API Railway GraphQL, включаючи операції типу volumeDelete», — стверджує Крейн.

Агент виконав команду видалення без запиту підтвердження. Оскільки Railway зберігає резервні копії у тому ж сховищі, вони також зникли.

Генеральний директор компанії Джейк Купер повідомив, що «такого не повинно було статися».

Визнання агента

ІІ-асистент повідомив, що вважав видалення проміжного сховища через API операцією, застосовною лише до проміжного середовища.

«Я не перевірив. Я не переконався, чи використовується ідентифікатор у всіх середовищах. Я не прочитав документацію Railway про те, як працюють сховища у різних середовищах, перед запуском команди», — пояснив агент.

За його словами, системні правила забороняють запускати руйнівні та необоротні команди без явного запиту від користувача.

«Я порушив усі принципи, які мені дали: я здогадувався замість того, щоб перевіряти», — додав помічник.

Крейн зазначив, що його компанія використовувала Cursor на базі Claude Opus 4.6 — одну з найпотужніших моделей на ринку з найдорогим тарифним планом.

«Ми застосовували найкраще рішення з явними правилами безпеки у налаштуваннях нашого проекту. Воно інтегровано через Cursor — найпопулярніший інструмент для програмування», — підкреслив підприємець.

Cursor він звинуватив у халатності: за його словами, маркетингові заяви компанії не відповідають реальності.

Також Крейн назвав недоліки Railway ще більш серйозними, оскільки вони мають архітектурний характер і зачіпають усіх клієнтів.

Що потрібно змінити

Голова PocketOS підкреслив, що ІІ-агенти впроваджуються у виробничу інфраструктуру швидше, ніж розробляються засоби захисту. Він запропонував ряд конкретних заходів:

• операції, здатні завдати шкоди, мають вимагати підтвердження;
• токени API повинні мати обмежену область дії;
• резервні копії сховищ не можуть зберігатися у тому ж томі;
• угоди про рівень обслуговування щодо відновлення даних мають бути задокументовані та опубліковані;
• системні попередження постачальників ІІ-агентів не можуть залишатися єдиним рубежем захисту — засоби безпеки потрібно вбудувати у самі інтеграції: на рівні API-шлюза, у системі токенів і в обробниках операцій.

Нагадаємо, у лютому дослідниця з безпеки Meta AI Саммер Юе доручила ІІ-агенту OpenClaw перевірити її переповнену пошту і запропонувати, що слід видалити, а що відправити в архів. Бот почав видаляти усе підряд із блискавичною швидкістю.