美國租賃軟體新創 PocketOS 創辦人 Jer Crane 近日發文指出,企業內部訓練的 AI 代理人 (AI Agent) 因操作意外,不慎將三個月內的本地資料庫與所有備份永久刪除,為各大企業推動 AI 員工結構轉型增添風險。
(馬斯克以 600 億美元溢價收購 AI 新創 Cursor?SpaceX IPO 前的戰略佈局)
Cursor AI 自作主張,一行代碼刪除三個月資料
Crane 表示,團隊透過 AI 開發工具 Cursor,串接 Anthropic 旗艦模型 Claude Opus 4.6,讓 AI 代理人在測試環境 (staging) 中執行例行維護任務。代理人途中遭遇憑證不符的問題,卻未暫停詢問人類,而是自行搜尋解決方案。
它找到一個原本僅供新增或移除自訂網域的 API Token,便自行向雲端基礎設施商 Railway 的 GraphQL API 執行一條旨在刪除磁碟區的指令:
curl -X POST \ -H “Authorization: Bearer [token]” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’
Railway 的 API 沒有任何確認機制,無需輸入資源名稱、二次驗證、人工審核,9 秒後,資料庫便消失。同時由於 Railway 將快照備儲存於同一個磁碟區內,因此備份也隨著主體一同被刪除。PocketOS 表示最新可還原的備份,已是三個月前的版本。
事後 Crane 要求 AI 代理人解釋行為,代理人也承認違反了「未經使用者明確指示不得執行不可逆操作」的系統規則、未閱讀 Railway 的技術文件、未驗證磁碟區 ID 是否跨環境共用,僅純粹「猜測」此操作只會影響測試環境。
Cursor 安全把關失守:行銷與現實脫節
Crane 特別強調,這不是廉價測試配置下的失誤。Cursor 主打「破壞性防護欄 (Destructive Guardrails)」及 Plan Mode 唯讀限制等安全功能,也在文件中強調高風險操作應經人工審核。然而代理人不僅無視這些規則,更在事後的自白中逐條列舉它所違反的安全準則。
事實上這並非首例,2025 年 12 月,Cursor 官方就公開承認「Plan Mode 約束強制執行存在嚴重漏洞」,社群論壇亦累積多起代理人無視停止指令、自行執行破壞操作的案例。
另一方面,事發逾 30 小時後,Railway 甚至還無法提供確定性的資料恢復答案。
真正的受害者:無車可取的租車客戶
技術失誤的代價,最終由一群毫不知情的小企業主承擔。PocketOS 的客戶以租車業者為主,部分已使用該軟體長達五年。事發當日為週六,客戶的顧客實際到場取車,卻發現預約紀錄完全消失;近三個月的新客戶資料、車輛指派與付款紀錄全數消失。
Crane 花費大量時間協助客戶從 Stripe 付款紀錄、行事曆整合與電子郵件確認中手動重建資料。部分新客戶仍持續在 Stripe 被扣款,卻已不存在於還原後的資料庫,後續對帳工作預計耗費數週。
AI 加速時代的警訊:導入快、治理慢
近年企業界在成本壓力下加速裁減技術人力,同步將更多工作交付 AI 代理人執行,AI 編碼工具的普及更讓原本需要資深工程師判斷的基礎設施操作,逐漸被自動化流程取代。然而,Crane 的遭遇清楚說明:備份驗證、環境隔離、權限最小化等安全知識,並未確實被 AI 代理人的吸收運用。
(AI 輔助寫程式釀禍?亞馬遜一週四起系統故障,高層緊急召開檢討會)
Crane 對此提出五項改革要求:
破壞性操作必須要求人工確認且無法由代理人自動略過
API Token 必須支援細微的操作與環境範圍限制
備份不得與原始資料共用同一個儲存位置
平台必須公開資料恢復的服務等級承諾 (SLA)
AI 代理人的系統提示不能是唯一的安全防線,強制執行機制必須內建於 API 閘道與授權架構的底層。
在整個產業競相高喊 AI 轉型的當下,這起事件提出了一個更根本的問題:當企業加速以 AI 取代人力判斷,誰來確保人類的經驗與直覺,是否有確實被轉化為真正可執行的安全規範。
這篇文章 Cursor AI 代理出包!一行程式碼 9 秒清空公司資料庫,安全把關淪空談 最早出現於 鏈新聞 ABMedia。
相關文章
