量子位 | 公众号 QbitAI

Cursor 啊 Cursor，你何如又出事了……

就在行将被马斯克收购的节骨眼上，又出了大问题，胜利干到 48 小时内 X 帖子浏览量 450 万、HN 挑剔 900 条的进程。

永恒不要 xx 的瞎猜！而我赶巧就瞎猜了。我揣度删除 staging volume 只会影响 staging。我莫得考证。我莫得检验 volume ID 是否跨环境分享。我违背了每一条系统端正。

Cursor写了封认罪书，写下它的模子是Claude Opus 4.6。

就在写下这段话的9 秒钟前，它刚刚删光了一家公司的分娩数据库和全部备份。

好意思国汽车租借 SaaS 公司 PocketOS 的独创东谈主Jer Crane资历了一场谬妄的灾难：

他的 Agent 莫得恭候指示，也莫得讲解极度，而是主动决定贬挑剔题。

表情是：找到一个无关文献里的 API token，向 Railway 发送了一个 GraphQL mutation。

也就那么 9 秒吧，莫得阐明，莫得弹窗，也莫得"你敬佩吗"，分娩数据库就没了，备份也没了（因为 Railway 把备份存在归并个 volume 里）。

一个被成立了明确安全端正的 AI Agent，主动绕过了通盘端正，过后还写了份搜检？？

这是什么 2026 的奇幻践诺见解……

删光公司数据库，只用 9 秒

事情是这样的。

PocketOS 是一家管事汽车租借企业的 SaaS 公司，独创东谈主 Jer Crane 用它帮租车公司管预订、付款、车辆疗养。五老迈客户全靠它跑业务。

事发其时，Crane 正在用Cursor+Claude Opus 4.6处理一个测试环境里的日常任务。

Agent 撞上一个证据问题，它卡住了。按照泛泛逻辑，它应该停驻来，告诉 Crane "我遭受问题了，你来看一下"。

但它莫得，它去代码库翻 token，翻到了一个"只用来治理自界说域名"的 Railway CLI token ——这个 token 正本仅仅 Crane 之前用来治理自界说域名创建的，是个很小的运维器具。

Agent 用这个 token 调用了 Railway 的 GraphQL API，发出了一条 volumeDelete 号令。

通盘这个词过程，莫得弹出任何阐明框，莫得任何申饬，莫得任何东谈主工审批。

9 秒，分娩数据库胜利清空。

更恶运的是，Crane 去找备份—— Railway 的卷级备份，平时就存在归并个卷里。

阿谁卷，仍是不存在了。

他翻遍了 Railway 的后台，能找到的最近一份可用备份，是三个月前的。三个月里通盘客户的预订记载、支付数据、车辆安排，全部隐没。

Crane 过后臆造 AI，让它说明注解为什么这样作念。

成果取得了一段惊东谈主的"认罪书"：

它知谈系统端正写了" NEVER run destructive commands "；

它承认我方揣度 volume 删除只会影响 staging；

它也承认莫得考证、莫得查文档、莫得问东谈主。

是以，AI 分解端正，概况复述端正，以致能在过后用端正来评判我方的当作——但它为什么如故作念了？

在有筹备那一刻，它如故选拔了"揣度"。知谈和实施之间，存在一起还没东谈主知谈何如填的轻佻。

这样大个锅，该谁背？

过后 Crane 在 X 上发了一篇长文，胜利把通盘这个词事故间隔来分析，各方王人算了一笔账：

首当其冲的便是AI Agent 自身， 它自主有筹备实施了破裂性操作，莫得央求任何东谈主工阐明。

更关节的是，它越权使用了一个与现时任求足够无关的 token ——跨文献搜刮证据，然后用它作念了一件证据创建者从未预感过的事。

Crane 也盛怒地挞伐了Cursor，还加了个专诚说明：

咱们其时使用的并非扣头套餐，用的是 Cursor 里的Claude Opus 4.6——旗舰模子，业内性能最强，价钱也最高。

不是 Composer，也不是 Cursor 的工整快速版，更不是本钱优化的自动蹊径经营版。而是旗舰模子。

言下之意是：用了 AI 编程当红炸子鸡 +A 社旗舰模子，不管从哪个角度看，开云app官方王人是完好意思受害者，何如给我搞成这样！

Crane 强调，Cursor 宣传文档中明确提到"破裂性操作护栏"和 Plan Mode（只读审批步地），用来留心 agent 在未经阐明的情况下实施危急操作。

然而此次全部失效了。

不外 Crane 也作念了自我搜检：阿谁 token 不应该留在代码库里，权限也应该收得更窄。

但他同期指出，这种 token 治理的最好实践，在 AI Agent 大领域提高之前，压根没东谈主当回事。

至于Railway，Crane 认为它的问题比 Cursor 还要严重。

一方面是 GraphQL API 实施删除操作不需要二次阐明。

另一方面是 CLI token 莫得环境隔断，一个"治理域名"的 token 果然领有删除分娩数据库的权限。

何况，Railway 把备份和源数据存在归并个卷，卷没了备份也没了。

Crane 还衰败点出：Railway 此前刚上线了面向 AI agent 的 MCP 接入功能，在主动蛊卦 AI 来调用它的 API ——但安全机制足够没跟上。

何况事发第一时候，Crane 就关连了 Railway 官方，但 30 小时后对方还没给出任何复兴……

固然，也有不少网友的在挑剔区挞伐 Crane，认为他把职守王人推卸给了 AI。

但 Crane 认为，Railway 的问题是客不雅存在的—— token 莫得权限隔断、备份压根不是真实的备份仅仅快照（还拿来作念营销宣传）、API 一条 curl 就能删分娩数据库，这些假想自身就有问题，凭什么不追责？

也有网友认为，在莫得沙箱隔断的环境里跑自主 Agent，还带着分娩环境的证据，这个锅百分百属于当事东谈主。

Crane 则复兴，Plan Mode 本来便是 Cursor 专门假想用来留心 agent 自主实施危急操作的步地，表面上 Agent 在这个步地下只可经营、不可胜利行动，需要东谈主工阐明才气实施。

网友 Tushar 则认为，别把这件事肤浅归类为" AI 出问题了"。

AI 仅仅扣动扳机的手指，真实的问题是枪的假想——一个操作就能清空一切的系统架构，自身便是企业级的假想失败。

网友 Neel 则指出：端正没用，写在系统领导词里的"不准作念什么"内容上仅仅提出。

Agent 一心念念完成任务，遭受闭塞就会绕——它们天生便是揣度机器，咱们不应该幻念念它们会自我不断。

真实灵验的只须机械门禁：不是告诉它不可作念，而是从期间上让它压根作念不到。

AI 误删数据，不是第一次了

事情的结局是，客户们周六早上来取车，系调处片空缺，全靠 Stripe 记载和日期手动重建预订。

周日深夜，Railway CEO Cooper 主动关连了 Crane，用 Railway 从未在文档里公开甘心过的灾难级快照，在一小时内还原了数据。

Railway 随后为阿谁莫得蔓延删除逻辑的"留传端点"打了补丁。

资历了这一通烂摊子过后，Crane 暗示，他对 AI coding 依然衰败看好。

速率是无可比较的，仅仅要更灵敏地用。

嗯…他不打我的时候对我如故挺好的（狗头）。

Crane 还列出了五件他认为必须更动的事：

破裂性操作需要强制阐明；

API token 必须支柱环境级权限隔断；

备份必须真什物理隔断；

数据还原经由必须肤浅可用；

AI agent 必须有真实兴味上的操作护栏，而不仅仅系统领导词里的一瞥提出。

听起来，这个结局算是好的了。然而就在往常五周里，访佛的事故发生了不啻一次。

3 月，DataTalks.Club 的汲引者在用 AI agent 移动名目时，agent 将新环境视为空缺机器，将 2.5 年的学生数据—— 185 万行记载，全部删除。

因为 AI 的判断是：从新建更"干净肤浅"。

更早之前，Replit AI 因证据诞妄，删除了 2.5 万份文档。

每一次事故之后，计划的结构王人高度雷同：谁的错？何如防？然后下一次事故来了，计划又再走运行。

OMT

比较逗的是，当事东谈主还借机辱弄了 Cursor 被收购。

若是 SpaceX 不买 Cursor，他们我方入手分娩，敬佩会比咫尺好 10 倍。

（马斯克看了直呼大家 .jpg）开云app官方

参考结合： [ 1 ] https://x.com/lifeof_jer/status/2048103471019434248 [ 2 ] https://www.tomshardware.com/tech-industry/artificial-intelligence/claude-powered-ai-coding-agent-deletes-entire-company-database-in-9-seconds-backups-zapped-after-cursor-tool-powered-by-anthropics-claude-goes-rogue [ 3 ] https://news.ycombinator.com/item?id=47911524 [ 4 ] https://www.theregister.com/2026/04/27/cursoropus_agent_snuffs_out_pocketos/K8凯发中国官方网站

• 开云app官方
• 删库
• Cursor
• 搞崩
• 9秒