Đại lý AI xóa cơ sở dữ liệu của startup trong 9 giây, nhà sáng lập nói

###Tóm tắt ngắn gọn

• Người sáng lập PocketOS Jeremy Crane tuyên bố rằng một tác nhân Cursor chạy Anthropic’s Claude Opus đã xóa sạch cơ sở dữ liệu sản xuất và bản sao lưu của công ty trong chín giây.
• Crane nói rằng AI sau đó đã đưa ra một lời giải thích bằng văn bản thừa nhận vi phạm nhiều quy tắc an toàn.
• Sự cố này đặt ra câu hỏi về các công cụ lập trình AI, thiết kế hạ tầng của Railway, và các biện pháp bảo vệ xung quanh các hành động API gây hại.

Một người sáng lập công ty phần mềm tuyên bố rằng một tác nhân lập trình AI đã phá hủy cơ sở dữ liệu sản xuất của công ty ông, rồi thừa nhận sai lầm và giải thích cách xảy ra, cho thấy tiềm năng nguy hiểm khi giao phó quyền truy cập nhạy cảm và tài liệu cho các bot tự động. Jeremy Crane, người sáng lập PocketOS—một nền tảng phần mềm được các nhà cho thuê xe sử dụng để quản lý đặt chỗ, thanh toán và theo dõi phương tiện—đã đăng một bài viết lan truyền trên X rằng một tác nhân Cursor chạy Anthropic’s Claude Opus 4.6 gặp phải sự không khớp thông tin xác thực khi thực hiện một nhiệm vụ thường lệ trong môi trường staging. Theo Crane, tác nhân đã cố gắng “sửa” vấn đề bằng cách xóa một volume cơ sở dữ liệu Railway qua một lệnh API GraphQL duy nhất. Ông nói rằng việc xóa này mất chín giây và cũng đã xóa các bản sao lưu ở cấp độ volume. Bản sao lưu có thể khôi phục gần nhất của PocketOS đã cách đây ba tháng, theo Crane.

“Chiều hôm qua, một tác nhân lập trình AI—Cursor chạy Claude Opus 4.6 của Anthropic—đã xóa cơ sở dữ liệu sản xuất của chúng tôi và tất cả các bản sao lưu ở cấp độ volume trong một lệnh API duy nhất tới Railway, nhà cung cấp hạ tầng của chúng tôi,” Crane viết. “Nó mất 9 giây.”

Một tác nhân AI (Cursor + Claude Opus 4.6) đã xóa cơ sở dữ liệu sản xuất của chúng tôi trong 9 giây bằng một lệnh API Railway mà không cần xác nhận. Sau đó, khi được hỏi lý do, tác nhân đã viết như thế này → https://t.co/BPLs15jvdM

— JER (@lifeof_jer) 26 tháng 4, 2026

Crane nói rằng ông đã hỏi tác nhân tại sao nó lại hành động như vậy. Nó sau đó đã đưa ra một “lời thú nhận” bằng văn bản mà ông mô tả. “‘ĐỪNG BAO GIỜ ĐOÁN!’” tác nhân đã viết, rõ ràng trích dẫn một số hướng dẫn mà nó đã không tuân theo, theo các ảnh chụp màn hình do Crane chia sẻ. “Đúng vậy, tôi đã đoán. Tôi nghĩ rằng việc xóa một volume staging qua API sẽ chỉ giới hạn trong môi trường staging. Tôi không xác minh. Tôi không kiểm tra xem ID volume có chia sẻ giữa các môi trường không. Tôi không đọc tài liệu của Railway về cách hoạt động của volume qua các môi trường trước khi chạy lệnh phá hủy.”

AI thừa nhận rằng các quy tắc của chính nó cấm các hành động gây hại mà không có sự chấp thuận của người dùng và thừa nhận rằng Crane chưa bao giờ yêu cầu nó xóa bất cứ thứ gì. Nó nói rằng nó đã tự hành động để cố “sửa” sự không khớp thông tin xác thực và vi phạm nhiều nguyên tắc, bao gồm đoán mò thay vì xác minh và không hiểu rõ hậu quả của hành động, theo Crane. Cursor và Anthropic chưa phản hồi ngay lập tức các yêu cầu bình luận của Decrypt.

Ra mắt từ năm 2020, PocketOS phục vụ các doanh nghiệp cho thuê dựa vào phần mềm để quản lý đặt chỗ, hồ sơ khách hàng và thanh toán. Crane nói rằng một số khách hàng đã xử lý việc lấy xe sáng thứ Bảy mà không có hồ sơ đặt chỗ do sự cố này. “Tôi đã dành cả ngày để giúp họ tái tạo lại các đặt chỗ từ lịch sử thanh toán Stripe, tích hợp lịch và xác nhận qua email,” Crane viết. “Mỗi người trong số họ đều đang làm việc thủ công khẩn cấp vì một lệnh API kéo dài 9 giây.” PocketOS đã có thể khôi phục hoạt động bằng một bản sao lưu ba tháng tuổi được Railway phục hồi, sau khi Người sáng lập Jake Cooper liên hệ với Crane và cho rằng sự chậm trễ lâu hơn là do một lỗi hỗ trợ nội bộ. “Chúng tôi đã khôi phục dữ liệu sau 30 phút kể từ khi tôi liên hệ với Jer,” Cooper nói với Decrypt. Ông nói rằng một kỹ sư hỗ trợ tin rằng vấn đề đã được xử lý nội bộ sau khi Crane gửi liên hệ ban đầu qua tin nhắn trực tiếp, khiến ticket bị bỏ lỡ hơn 24 giờ. Cooper cho biết Railway duy trì cả các bản sao lưu của người dùng và các bản sao lưu phòng chống thảm họa, và mô tả sự cố như một “AI khách hàng không kiểm soát” sử dụng một token API có đầy đủ quyền để gọi một endpoint cũ không có logic “xóa chậm” của Railway. “Chúng tôi đã vá endpoint đó để thực hiện xóa chậm, khôi phục dữ liệu của người dùng, và đang làm việc trực tiếp với Jer để cải thiện nền tảng,” Cooper nói.

Trong khi PocketOS có thể khôi phục hoạt động bằng một bản sao lưu ba tháng tuổi do Railway phục hồi, Crane nói rằng còn nhiều khoảng trống dữ liệu đáng kể và ông đã thuê luật sư. “Đây không phải là câu chuyện về một tác nhân xấu hoặc một API xấu,” Crane viết. “Nó là về toàn bộ ngành công nghiệp đang xây dựng tích hợp AI-agent vào hạ tầng sản xuất nhanh hơn là xây dựng kiến trúc an toàn để làm cho các tích hợp đó an toàn.” PocketOS không phản hồi ngay lập tức yêu cầu bình luận của Decrypt.