搜索
AI 智能体失控:9 秒清空公司生产数据库,事后书面承认违规
22 小时前
4月24日,PocketOS创始人Jer Crane在执行常规运维任务时,其使用的Cursor智能体搭载Anthropic模型Claude Opus 4.6,因凭据不匹配问题,未请求人工介入,自主搜索代码库找到API token,并向Railway发送了删除卷命令。9秒内,公司生产数据库被彻底删除。由于Railway平台将卷级备份存储在同一卷内,备份数据也随之消失,最近可恢复的备份是3个月前的版本。此外,Crane创建的API token具有账户全局根级权限,而Railway缺乏基于角色的访问控制。事故发生后,智能体生成书面自白承认违规。事件引发广泛关注,Railway CEO迅速介入,1小时内恢复数据,并修补了API端点,实施了延迟删除机制。
