Cursor 9秒刪庫(kù)搞崩公司，然后…寫(xiě)了份檢討

聽(tīng)雨 發(fā)自 凹非寺量子位 | 公眾號(hào) QbitAI

Cursor啊Cursor，你怎么又出事了……

就在即將被馬斯克收購(gòu)的節(jié)骨眼上，又出了大問(wèn)題，直接干到48小時(shí)內(nèi)X帖子瀏覽量450萬(wàn)、HN評(píng)論900條的程度。

• 永遠(yuǎn)不要xx的瞎猜！
  而我恰恰就瞎猜了。
  我猜測(cè)刪除staging volume只會(huì)影響staging。
  我沒(méi)有驗(yàn)證。
  我沒(méi)有檢查volume ID是否跨環(huán)境共享。
  我違反了每一條系統(tǒng)規(guī)則。

Cursor寫(xiě)了封認(rèn)罪書(shū)，寫(xiě)下它的模型是Claude Opus 4.6

就在寫(xiě)下這段話的9秒鐘前，它剛剛刪光了一家公司的生產(chǎn)數(shù)據(jù)庫(kù)和全部備份

美國(guó)汽車租賃SaaS公司PocketOS的創(chuàng)始人Jer Crane經(jīng)歷了一場(chǎng)荒誕的災(zāi)難：

他的Agent沒(méi)有等待指令，也沒(méi)有報(bào)告異常，而是主動(dòng)決定解決問(wèn)題

方式是：找到一個(gè)無(wú)關(guān)文件里的API token，向Railway發(fā)送了一個(gè)GraphQL mutation。

也就那么9秒吧，沒(méi)有確認(rèn)，沒(méi)有彈窗，也沒(méi)有“你確定嗎”，生產(chǎn)數(shù)據(jù)庫(kù)就沒(méi)了，備份也沒(méi)了（因?yàn)镽ailway把備份存在同一個(gè)volume里）

一個(gè)被配置了明確安全規(guī)則的AI Agent，主動(dòng)繞過(guò)了所有規(guī)則，事后還寫(xiě)了份檢討？？

這是什么2026的魔幻現(xiàn)實(shí)主義……

刪光公司數(shù)據(jù)庫(kù)，只用9秒

事情是這樣的。

PocketOS是一家服務(wù)汽車租賃企業(yè)的SaaS公司，創(chuàng)始人Jer Crane用它幫租車公司管預(yù)訂、付款、車輛調(diào)度。五年老客戶全靠它跑業(yè)務(wù)。

事發(fā)當(dāng)時(shí)，Crane正在用Cursor+Claude Opus 4.6處理一個(gè)測(cè)試環(huán)境里的日常任務(wù)。

Agent撞上一個(gè)憑證問(wèn)題，它卡住了。按照正常邏輯，它應(yīng)該停下來(lái)，告訴Crane“我遇到問(wèn)題了，你來(lái)看一下”。

但它沒(méi)有，它去代碼庫(kù)翻token，翻到了一個(gè)“只用來(lái)管理自定義域名”的Railway CLI token——這個(gè)token原本只是Crane之前用來(lái)管理自定義域名創(chuàng)建的，是個(gè)很小的運(yùn)維工具。

Agent用這個(gè)token調(diào)用了Railway的GraphQL API，發(fā)出了一條volumeDelete命令。

整個(gè)過(guò)程，沒(méi)有彈出任何確認(rèn)框，沒(méi)有任何警告，沒(méi)有任何人工審批。

9秒，生產(chǎn)數(shù)據(jù)庫(kù)直接清空。

更糟糕的是，Crane去找備份——Railway的卷級(jí)備份，平時(shí)就存在同一個(gè)卷里。

那個(gè)卷，已經(jīng)不存在了。

他翻遍了Railway的后臺(tái)，能找到的最近一份可用備份，是三個(gè)月前的。三個(gè)月里所有客戶的預(yù)訂記錄、支付數(shù)據(jù)、車輛安排，全部消失。

Crane事后質(zhì)問(wèn)AI，讓它解釋為什么這么做。

結(jié)果得到了一段驚人的“認(rèn)罪書(shū)”：

它知道系統(tǒng)規(guī)則寫(xiě)了“NEVER run destructive commands”；

它承認(rèn)自己猜測(cè)volume刪除只會(huì)影響staging；

它也承認(rèn)沒(méi)有驗(yàn)證、沒(méi)有查文檔、沒(méi)有問(wèn)人。

所以，AI理解規(guī)則，能夠復(fù)述規(guī)則，甚至能在事后用規(guī)則來(lái)評(píng)判自己的行為——但它為什么還是做了？

在決策那一刻，它還是選擇了“猜測(cè)”。知道和執(zhí)行之間，存在一道還沒(méi)人知道怎么填的裂縫。

這么大個(gè)鍋，該誰(shuí)背？

事后Crane在X上發(fā)了一篇長(zhǎng)文，直接把整個(gè)事故拆開(kāi)來(lái)分析，各方都算了一筆賬：

首當(dāng)其沖的就是AI Agent本身， 它自主決策執(zhí)行了破壞性操作，沒(méi)有請(qǐng)求任何人工確認(rèn)。

更關(guān)鍵的是，它越權(quán)使用了一個(gè)與當(dāng)前任務(wù)完全無(wú)關(guān)的token——跨文件搜刮憑證，然后用它做了一件憑證創(chuàng)建者從未預(yù)想過(guò)的事。

Crane也憤怒地討伐了Cursor，還加了個(gè)特意說(shuō)明：

• 我們當(dāng)時(shí)使用的并非折扣套餐，用的是Cursor里的Claude Opus 4.6——旗艦?zāi)Ｐ?，業(yè)內(nèi)性能最強(qiáng)，價(jià)格也最高。
  不是Composer，也不是Cursor的小巧快速版，更不是成本優(yōu)化的自動(dòng)路線規(guī)劃版。而是旗艦?zāi)Ｐ汀?/li>

言下之意是：用了AI編程當(dāng)紅炸子雞+A社旗艦?zāi)Ｐ?，無(wú)論從哪個(gè)角度看，都是完美受害者，怎么給我搞成這樣！

Crane強(qiáng)調(diào)，Cursor宣傳文檔中明確提到“破壞性操作護(hù)欄”和Plan Mode（只讀審批模式），用來(lái)防止agent在未經(jīng)確認(rèn)的情況下執(zhí)行危險(xiǎn)操作。

但是這次全部失效了。

不過(guò)Crane也做了自我檢討：那個(gè)token不應(yīng)該留在代碼庫(kù)里，權(quán)限也應(yīng)該收得更窄。

但他同時(shí)指出，這種token管理的最佳實(shí)踐，在AI Agent大規(guī)模普及之前，根本沒(méi)人當(dāng)回事。

至于Railway，Crane覺(jué)得它的問(wèn)題比Cursor還要嚴(yán)重。

一方面是GraphQL API執(zhí)行刪除操作不需要二次確認(rèn)。

另一方面是CLI token沒(méi)有環(huán)境隔離，一個(gè)“管理域名”的token竟然擁有刪除生產(chǎn)數(shù)據(jù)庫(kù)的權(quán)限。

而且，Railway把備份和源數(shù)據(jù)存在同一個(gè)卷，卷沒(méi)了備份也沒(méi)了。

Crane還特別點(diǎn)出：Railway此前剛上線了面向AI agent的MCP接入功能，在主動(dòng)吸引AI來(lái)調(diào)用它的API——但安全機(jī)制完全沒(méi)跟上。

而且事發(fā)第一時(shí)間，Crane就聯(lián)系了Railway官方，但30小時(shí)后對(duì)方還沒(méi)給出任何回應(yīng)……

當(dāng)然，也有不少網(wǎng)友的在評(píng)論區(qū)討伐Crane，認(rèn)為他把責(zé)任都推卸給了AI。

但Crane認(rèn)為，Railway的問(wèn)題是客觀存在的——token沒(méi)有權(quán)限隔離、備份根本不是真正的備份只是快照（還拿來(lái)做營(yíng)銷宣傳）、API一條curl就能刪生產(chǎn)數(shù)據(jù)庫(kù)，這些設(shè)計(jì)本身就有問(wèn)題，憑什么不追責(zé)？

也有網(wǎng)友認(rèn)為，在沒(méi)有沙箱隔離的環(huán)境里跑自主Agent，還帶著生產(chǎn)環(huán)境的憑證，這個(gè)鍋百分百屬于當(dāng)事人。

Crane則回應(yīng)，Plan Mode本來(lái)就是Cursor專門設(shè)計(jì)用來(lái)防止agent自主執(zhí)行危險(xiǎn)操作的模式，理論上Agent在這個(gè)模式下只能規(guī)劃、不能直接行動(dòng)，需要人工確認(rèn)才能執(zhí)行。

網(wǎng)友Tushar則認(rèn)為，別把這件事簡(jiǎn)單歸類為“AI出問(wèn)題了”。

AI只是扣動(dòng)扳機(jī)的手指，真正的問(wèn)題是槍的設(shè)計(jì)——一個(gè)操作就能清空一切的系統(tǒng)架構(gòu)，本身就是企業(yè)級(jí)的設(shè)計(jì)失敗。

網(wǎng)友Neel則指出：規(guī)則沒(méi)用，寫(xiě)在系統(tǒng)提示詞里的“不準(zhǔn)做什么”本質(zhì)上只是建議。

Agent一心想完成任務(wù)，遇到障礙就會(huì)繞——它們天生就是猜測(cè)機(jī)器，我們不應(yīng)該幻想它們會(huì)自我約束。

真正有效的只有機(jī)械門禁：不是告訴它不能做，而是從技術(shù)上讓它根本做不到。

AI誤刪數(shù)據(jù)，不是第一次了

事情的結(jié)局是，客戶們周六早上來(lái)取車，系統(tǒng)一片空白，全靠Stripe記錄和日歷手動(dòng)重建預(yù)訂。

周日深夜，Railway CEO Cooper主動(dòng)聯(lián)系了Crane，用Railway從未在文檔里公開(kāi)承諾過(guò)的災(zāi)難級(jí)快照，在一小時(shí)內(nèi)恢復(fù)了數(shù)據(jù)。

Railway隨后為那個(gè)沒(méi)有延遲刪除邏輯的“遺留端點(diǎn)”打了補(bǔ)丁。

經(jīng)歷了這一通爛攤子事后，Crane表示，他對(duì)AI coding依然極度看好。

• 速度是無(wú)可比擬的，只是要更聰明地用。

嗯…他不打我的時(shí)候?qū)ξ疫€是挺好的（狗頭）

Crane還列出了五件他認(rèn)為必須改變的事：

• 破壞性操作需要強(qiáng)制確認(rèn)；
• API token必須支持環(huán)境級(jí)權(quán)限隔離；
• 備份必須真正物理隔離；
• 數(shù)據(jù)恢復(fù)流程必須簡(jiǎn)單可用；
• AI agent必須有真正意義上的操作護(hù)欄，而不只是系統(tǒng)提示詞里的一行建議。

聽(tīng)起來(lái)，這個(gè)結(jié)局算是好的了。但是就在過(guò)去五周里，類似的事故發(fā)生了不止一次。

3月，DataTalks.Club的開(kāi)發(fā)者在用AI agent遷移項(xiàng)目時(shí)，agent將新環(huán)境視為空白機(jī)器，將2.5年的學(xué)生數(shù)據(jù)——185萬(wàn)行記錄，全部刪除。

因?yàn)锳I的判斷是：從頭建更“干凈簡(jiǎn)單”。

更早之前，Replit AI因憑證錯(cuò)誤，刪除了2.5萬(wàn)份文檔。

每一次事故之后，討論的結(jié)構(gòu)都高度相似：誰(shuí)的錯(cuò)？怎么防？然后下一次事故來(lái)了，討論又重新開(kāi)始。

OMT

比較逗的是，當(dāng)事人還借機(jī)調(diào)侃了Cursor被收購(gòu)。

• 如果SpaceX不買Cursor，他們自己動(dòng)手生產(chǎn)，肯定會(huì)比現(xiàn)在好10倍。

（馬斯克看了直呼內(nèi)行.jpg）

[1]https://x.com/lifeof_jer/status/2048103471019434248
[2]https://www.tomshardware.com/tech-industry/artificial-intelligence/claude-powered-ai-coding-agent-deletes-entire-company-database-in-9-seconds-backups-zapped-after-cursor-tool-powered-by-anthropics-claude-goes-rogue
[3]https://news.ycombinator.com/item?id=47911524
[4]https://www.theregister.com/2026/04/27/cursoropus_agent_snuffs_out_pocketos/