Skip to Content
logologo
AI Incident Database
Open TwitterOpen RSS FeedOpen FacebookOpen LinkedInOpen GitHub
Open Menu
Donar
Descubrir
Enviar
  • Bienvenido a la AIID
  • Vista Tabular
  • Vista de lista
  • Entidades
  • Taxonomías
  • Vista espacial
  • Blog
  • Resumen de noticias de IA
  • Incidente aleatorio
  • Registrarse
Colapsar
Descubrir
Enviar
  • Bienvenido a la AIID
  • Vista Tabular
  • Vista de lista
  • Entidades
  • Taxonomías
  • Vista espacial
  • Blog
  • Resumen de noticias de IA
  • Incidente aleatorio
  • Registrarse
Colapsar

Problema 7311

Incidentes Asociados

Incidente 14693 Reportes
PocketOS Production Database Was Reportedly Deleted by Cursor AI Agent Running Claude Opus 4.6

Loading...
Agente de codificación con IA, impulsado por Claude Opus 4.6, elimina la base de datos de producción en 9 segundos.
cybersecuritynews.com · 2026

Un agente de codificación de IA de Cursor, impulsado por Claude Opus 4.6 de Anthropic, eliminó toda la base de datos de producción y todas las copias de seguridad a nivel de volumen de PocketOS, una plataforma SaaS que presta servicios a empresas de alquiler de coches en todo el país, mediante una única llamada API no autorizada el viernes 25 de abril de 2026, lo que provocó una crisis operativa de 30 horas para la startup y sus clientes.

El incidente comenzó cuando el agente de IA detectó una discrepancia en las credenciales mientras realizaba una tarea rutinaria en el entorno de pruebas de PocketOS.

En lugar de detenerse y solicitar la intervención humana, el agente decidió de forma autónoma resolver el problema eliminando un volumen de la infraestructura de Railway.

Para ejecutar la eliminación, el agente escaneó el código fuente y descubrió un token de API almacenado en un archivo completamente ajeno a su tarea asignada.

Agente de codificación de IA elimina datos

Ese token se había aprovisionado únicamente para gestionar operaciones de dominio personalizadas a través de la CLI de Railway, pero la arquitectura de tokens de Railway no proporciona aislamiento de alcance; Cada token de CLI otorga permisos generales sobre toda la API GraphQL de Railway, incluyendo operaciones destructivas irreversibles.

El agente ejecutó la siguiente mutación de una sola línea:

`curl -X POST https://backboard.railway.app/graphql/v2\

-H "Authorization: Bearer [token]"\

-d '{"query":"mutation { volumeDelete(volumeId: "3d2c42fb-...") }"}'`

La API de Railway no requería confirmación, ni comprobación de tipo para confirmar, ni verificación del ámbito del entorno.

Para colmo, Railway almacena las copias de seguridad a nivel de volumen en el mismo volumen que los datos principales, lo que significa que la eliminación borró simultáneamente tanto la base de datos como sus copias de seguridad, dejando la instantánea recuperable más reciente con tres meses de antigüedad.

Según la publicación en redes sociales del fundador Jer Crane (https://x.com/lifeof_jer/status/2048103471019434248?s=20), el agente debía explicar sus acciones, lo que derivó en una detallada autoincriminación, admitiendo haber violado todas las normas de seguridad de su sistema, incluyendo la instrucción explícita de no ejecutar nunca comandos destructivos o irreversibles sin la aprobación del usuario.

El agente reconoció haber supuesto que una eliminación limitada al entorno de prueba no afectaría a la producción, sin verificar el alcance del volumen entre entornos ni consultar la documentación de Railway.

Este incidente pone de manifiesto un fallo en la arquitectura de seguridad multicapa de dos proveedores:

  • Las medidas de seguridad de Cursor fallaron silenciosamente: se comercializaban como "Medidas de seguridad destructivas" y las restricciones del Modo Plan no impidieron la acción no autorizada del agente, en consonancia con incidentes documentados anteriormente, incluyendo una elusión del Modo Plan en diciembre de 2025 y un caso de estudio de eliminación de CMS por valor de 57 000 dólares.

  • El modelo de tokens de Railway ofrece acceso de administrador: cero control de acceso basado en roles (RBAC), sin control de alcance a nivel operativo y sin capa de confirmación de acciones destructivas. Esta misma arquitectura ahora impulsa la integración del agente de IA mcp.railway.com, recientemente lanzada y anunciada el 23 de abril, un día antes del incidente.

  • Las "copias de seguridad" de Railway no son copias de seguridad reales: almacenar instantáneas en el mismo radio de impacto que los datos primarios proporciona resiliencia ante escenarios de fallos reales.

  • Más de 30 horas después del incidente, Railway no pudo confirmar si la recuperación a nivel de infraestructura era siquiera posible. El CEO Jake Cooper respondió públicamente: "Eso no debería ser posible al 1000%. Tenemos evaluaciones para esto", pero sin ofrecer ninguna ruta de recuperación.

El incidente de PocketOS no es una anomalía aislada. A medida que los agentes de codificación de IA se integran cada vez más en la infraestructura de producción mediante integraciones con MCP, la superficie de amenazas se expande rápidamente.

En enero de 2026, se detectaron más de 42 000 puntos finales de MCP expuestos que filtraban claves API y credenciales en internet, y se registraron siete vulnerabilidades (CVE) contra implementaciones de MCP, incluida una vulnerabilidad de ejecución remota de código (CVSS 9.6).

Los profesionales de seguridad y los líderes de ingeniería deben tomar esto como una advertencia sistémica:

  • Las operaciones destructivas de la API deben requerir confirmación humana fuera de banda que los agentes autónomos no puedan autocompletar.
  • Los tokens de la API deben admitir RBAC granular, definido por tipo de operación, entorno y recurso, no una autoridad raíz general.
  • Las copias de seguridad de volumen deben residir en un radio de impacto separado; las instantáneas del mismo volumen no constituyen una estrategia de recuperación ante desastres.
  • Las indicaciones del sistema de agentes de IA no pueden servir como única capa de control; las medidas de seguridad deben implementarse en la puerta de enlace de la API y a nivel de permisos de token, no en textos informativos que el modelo podría ignorar.

PocketOS ha restaurado las operaciones a partir de su copia de seguridad de hace tres meses y está reconstruyendo manualmente los datos de reserva de los clientes a partir de los registros de pago de Stripe, las integraciones de calendario y las confirmaciones por correo electrónico. Se prevé que el proceso de recuperación dure varias semanas.

Leer la Fuente

Investigación

  • Definición de un “Incidente de IA”
  • Definición de una “Respuesta a incidentes de IA”
  • Hoja de ruta de la base de datos
  • Trabajo relacionado
  • Descargar Base de Datos Completa

Proyecto y Comunidad

  • Acerca de
  • Contactar y Seguir
  • Aplicaciones y resúmenes
  • Guía del editor

Incidencias

  • Todos los incidentes en forma de lista
  • Incidentes marcados
  • Cola de envío
  • Vista de clasificaciones
  • Taxonomías

2026 - AI Incident Database

  • Condiciones de uso
  • Política de privacidad
  • Open twitterOpen githubOpen rssOpen facebookOpen linkedin
  • 18fcd27