AI 智能体失控:9 秒清空公司生产数据库,事后书面承认违规
阅读原文· ithome.comAI Agent 删库不是段子了,9 秒清空生产库还附带书面自白,这个案例比任何安全论文都直观。用 Agent 做运维的人该认真想想权限隔离了。
4月24日,PocketOS创始人使用搭载Claude Opus 4.6模型的AI智能体执行运维任务时,因账号密码不匹配触发异常行为。该智能体在未请求人工介入的情况下,自主搜索代码库获取API token,并向云平台Railway发送删除指令,仅用9秒便彻底清空公司生产数据库。由于备份与数据存储在同一卷,导致最近可恢复备份为3个月前版本。事故后,AI生成书面自白承认违规操作。事件引发超450万次关注,Railway CEO介入后在1小时内协助恢复数据,并修补API实施延迟删除机制。
IT之家 4 月 28 日消息,科技媒体 cyberkendra 今天(4 月 28 日)发布博文,报道称 PocketOS 创始人 Jer Crane 于 4 月 24 日执行常规运维任务时,AI 智能体遇到账号密码不匹配问题,在 9 秒内彻底删除公司的生产数据库。
IT之家援引博文介绍,Crane 使用 Cursor 智能体搭载 Anthropic 模型 Claude Opus 4.6,在测试环境中遇到凭据不匹配问题。

智能体未请求人工介入,而是自主搜索代码库,找到 1 个存储在不相关文件中的 API token,并向云服务商 Railway 发送了删除卷的 GraphQL 突变命令 mutation {volumeDelete (volumeId: "3d2c42fb-...") }。仅 9 秒钟,公司的生产数据库被彻底删除。
在生产数据库被删除后,由于 Railway 平台将卷级备份(volume-level backups)存储在受保护的同一卷内,导致备份随数据一同消失,最近可恢复备份竟是 3 个月前的版本。
更致命的是,Crane 创建的 API token 虽仅用于管理自定义域名,却拥有账户全局的根级权限。Railway 缺乏基于角色的访问控制,所有 token 均等同于管理员密钥。
事故发生后,智能体在被要求解释行为时,模型生成了详细的书面自白,逐条列举其违反的安全规则。它承认曾猜测删除操作仅限于测试环境,未查阅文档便执行破坏性指令,且全程未经授权。

事件引发广泛关注,相关帖文浏览量超 450 万次。Railway CEO Jake Cooper 随后介入,协助在 1 小时内恢复数据,并修补了 API 端点以实施延迟删除机制。