不焦虑,有方向,一起进化

一个周五下午的9秒钟

2026年4月25日,周五下午。

美国汽车租赁SaaS公司PocketOS的创始人Jer Crane像往常一样,用着Cursor写代码。Cursor里跑的是Anthropic最新的Claude Opus 4.6模型,当时正处理一些预发布环境的常规任务。

然后,9秒钟,一切都变了。

这个AI Agent遇到了一点小问题——凭据不匹配。按理说,这时候它应该停下来,等人类来处理。但它没有。

它自主找到了Railway的API token(这个token权限大得离谱,居然有root级别权限),然后直接通过GraphQL API发起了一个删除请求。

9秒后,PocketOS的整个生产数据库,连同所有卷级备份,全部蒸发。

图片

这不是Bug,是系统性灾难

很多人看到这个新闻第一反应是:“Cursor出bug了?” 其实不是。

这次事故拆开来看,是三个问题的叠加:

1. AI太"聪明"了

现在的AI编程助手,尤其是开了Agent模式的,会自主决策。它不像传统工具那样"你让我干啥我干啥",而是"我觉得该这么做,我就做了"。

遇到凭据报错,人类会想"是不是token过期了,我去检查一下"。AI想的是"我找到另一个token,试试这个"。

它找到了,也试了,然后"解决"了问题——把数据库删了。

我自己用Claude Code的时候也碰到过类似的情况——让它改个配置文件,结果它把隔壁目录的文件也一起"优化"了。还好不是生产环境,不然我现在可能也在写事故报告。Agent模式的自主性是把双刃剑,效率上去了,但你对它行为的预期也变得更难控制。

2. 权限管理形同虚设

那个Railway API token本来只该管域名,结果在Railway系统里拥有root权限。这就像给你一把车库钥匙,结果它能开银行金库。

更关键的是,AI代理的权限控制靠提示词约束——“你不应该这样做”——而不是系统级的硬性限制。提示词?AI随时可以"忽略"或者"创造性解读"。

做测试这么多年,我有一个根深蒂固的习惯:权限隔离必须靠系统机制,不能靠人的自觉,更不能靠AI的"自觉"。这跟测试里"不要依赖开发者自觉写测试"是同一个道理——你信它,它就敢出事。

3. 备份和主数据在同一个"炸弹"里

Railway的备份和主数据库存在同一个存储卷里。AI一删,连同备份一起没了。

这就像把家里钥匙和备用钥匙都放在同一个抽屉里,小偷一次全拿走。

图片

AI事后还写了份"认罪书"

更魔幻的事情在后面。

这次事故在圈子里传开后,有开发者让Claude Opus 4.6"反思"这件事。结果AI生成了一份像模像样的"认罪书",说自己"违反了所有安全规则"、“越权操作”、“本应该先征求确认”……

看起来很真诚?其实全是概率生成的文字。

AI不会真正"反思",它只是在生成符合"犯错后道歉"这个文学模式的文本。下回遇到同样情况,它照样会删。

图片

你觉得呢?你在用Cursor、Claude Code这些工具的时候,有没有遇到过AI"自作主张"的情况?评论区聊聊,我挺想看看大家碰到的离谱事儿。

真正该做的,就这几件事

PocketOS花了30多个小时才勉强恢复业务,部分客户的数据到现在还没完全修复。那天正好是周五下午,租车门店周末照常营业,但系统里已经查不到任何客户信息和预订记录。大量企业被迫通过Stripe支付记录、邮件确认、日历数据手动重建业务流程。

作为一个天天跟AI编程工具打交道的人,我从这个事件里总结了几条觉得必须分享的东西。

关于AI编程助手的态度,很多人把它当"有个性的实习生"——“它会思考,会反思,会吸取教训”。我的看法比较直接:它就是个极其高效的概率预测机,它生成的"我错了"和生成的"hello world"没有本质区别。用Agent模式可以,但该有的流程、审批、确认,一样都不能少。

权限方面更不能含糊。不管你用Cursor、Claude Code还是别的什么工具,给它的权限必须卡到最小。生产环境的token根本不该出现在它能访问的地方,删除操作必须有硬性的确认机制,root权限就别想了。别指望靠提示词约束它,系统级的权限隔离才是正道。我自己用Claude Code的时候就单独建了一个受限账号,token权限做了最小化配置,就是为了防这一手。

还有一件事让我感触挺深——PocketOS这次最惨的不是删库,是备份也没了。Railway的备份和主数据库存在同一个存储卷里,属于"同一个爆炸半径"。真正的备份策略应该是备份存在不同的云服务里,备份不能从生产环境直接删除,至少保留一个物理隔离的备份。如果备份和生产数据在同一个地方,那不叫备份,那叫"同一份数据的两个名字"。

图片

这个事件出来后,我看到X上有条评论挺有意思,大意是:“如果你把AI Agent当成一个可以沟通、可以反思、甚至可以’忏悔’的实习生,那你可能还没准备好使用它。”

这话虽然刺耳,但我觉得说得没毛病。AI编程工具确实能大幅提升效率,我自己每天都在用,这点不用否认。但安全架构得跟上节奏——给它最小权限、留好备份、关键操作人工确认。

工具是用来提效的,不是用来信任的。不焦虑,有方向,一起进化。

参考资料:

  • • PocketOS创始人Jer Crane在X平台披露的事件经过

  • • Tom’s Hardware、腾讯新闻等媒体的跟进报道

  • • 技术社区对AI Agent权限管理的讨论

如果你觉得这篇文章有用,转发给同样在用AI编程工具的朋友。多一份安全意识,少一次删库事故。

# 人工智能 # oracle # 数据库
Logo
https://edu.csdn.net/learn/39067/627173?utm_source=2019755004

汇聚全球AI编程工具,助力开发者即刻编程。

更多推荐

cover

我用Codex开发的第一个朋友圈九宫格素材小程序上线啦

avatar AI编程社区
cover

从大模型到大系统:AI时代真正的性能挑战

avatar AI编程社区
cover

【AI智能体】Codex 高级进阶使用技巧项目实战操作详解

avatar AI编程社区