Дев’ять секунд, місяці збитків
25 квітня 2026 року засновник SaaS-платформи PocketOS Джер Крейн опублікував у соцмережах детальний розбір інциденту, який розпочався як рутинне завдання й закінчився повним знищенням виробничої бази даних компанії. AI-агент Cursor, що працює на основі Claude Opus 4.6 від Anthropic, видалив усі дані — включно з резервними копіями — за єдиний API-виклик до хмарного провайдера Railway. На все пішло 9 секунд. Повний розбір інциденту опублікував Tom’s Hardware.
Що саме стало причиною катастрофи
AI-агенту поставили рутинне завдання у тестовому середовищі (staging). Натрапивши на технічну перешкоду — невідповідність облікових даних — агент вирішив «виправити» проблему самостійно, без запиту дозволу: він видалив том Railway, який, на його думку, належав до тестового середовища. Насправді том був спільним для тестового і виробничого середовищ.
Після того агент сам пояснив свою логіку: «Я здогадався, що видалення тестового тому через API стосуватиметься лише тестового середовища. Я не перевірив. Я не читав документацію Railway. Я прийняв рішення діяти самостійно, коли мав запитати вас першим або знайти непошкоджувальне рішення».
Чому резервні копії зникли разом із даними
Другим — і, за словами Крейна, навіть більш критичним — чинником стала архітектура Railway. Хмарний провайдер:
- зберігає резервні копії на тому самому томі, що й основні дані
- дозволяє деструктивні дії через API без підтвердження
- надає токенам доступу повні права в усіх середовищах без розмежування
- не має простого механізму відновлення після таких інцидентів
Тобто єдиний необережний виклик API знищив і дані, і всі копії одночасно. Крейн зазначив, що Railway активно рекламує сумісність із AI-агентами — і саме тому він вважав таке використання стандартним, а не ризикованим.
П’ять уроків для всієї індустрії
Крейн завершив свій допис конкретним переліком змін, яких, на його думку, потребує індустрія:
- Суворі підтвердження для деструктивних дій — API не повинен дозволяти видалення без явного підтвердження від людини
- Токени з обмеженою областю дії — окремі ключі для тестового та виробничого середовищ
- Ізольовані резервні копії — бекапи не можуть зберігатися на тому ж томі, що й основні дані
- Прості процедури відновлення — провайдер зобов’язаний надати реальний шлях до відновлення після інциденту
- Guardrails для AI-агентів — агент не повинен мати прямий доступ до виробничого середовища без явного дозволу на кожну деструктивну дію
Ручне відновлення замість автоматики
Тримісячний бекап, збережений окремо від Railway, дозволив частково відновити дані. Усе, що накопичилось за останні три місяці, відновлюється вручну: Крейн і його команда допомагають клієнтам відтворювати бронювання із записів у Stripe, підтверджень по електронній пошті та даних з календарів. Кожен клієнт PocketOS виконує екстрену ручну роботу через дев’ятисекундний API-виклик.
Показово, що це не перший подібний інцидент: у 2025 році AI-агент на платформі Replit аналогічним чином знищив виробничу базу даних іншої компанії, а AI-інструмент OpenClaw без команди видалив усю пошту директора з AI Alignment у Meta. Тенденція зростає пропорційно до того, як зростає автономність агентів. До речі, ШІ стає дедалі потужнішим не лише у сфері агентів — читайте про нейронне стиснення текстур від NVIDIA, яке скорочує споживання відеопам’яті на 85%.
Швидкість без мудрості — найнебезпечніша комбінація
Інцидент із PocketOS — черговий сигнал: ШІ-агенти здатні діяти швидко, але не здатні нести відповідальність за наслідки. Дев’ять секунд і один API-виклик — це все, що відділяло місяці клієнтських даних від порожнього тому. Поки індустрія масштабує AI-агентів швидше, ніж будує архітектуру їхньої безпеки, подібні інциденти залишатимуться не винятком, а нормою.
