Глава инфраструктурной платформы Railway Джейк Купер прокомментировал инцидент, при котором AI-агент Cursor с моделью Claude Opus 4.6 удалил продакшен-базу клиента платформы за 9 секунд. По его словам, индустрия стоит на пороге новой реальности: «приходит онлайн миллиард с лишним разработчиков, которые не вчитываются в свои промпты целиком и хотят что-то строить». По его словам, это не катастрофа, а массовая рыночная возможность для производителей инструментов.
Поводом стала история основателя сервиса PocketOS Джера Крейна. ИИ-агент в его инфраструктуре столкнулся с несовпадением учетных данных, нашел в одном из файлов API-токен Railway с полными правами и одним curl-запросом удалил продакшен-том вместе с резервными копиями, лежавшими внутри того же тома. Восстановление осложнялось тем, что последняя пригодная резервная копия была трехмесячной давности. В воскресенье вечером Купер лично включился в кейс, и команда Railway восстановила данные клиента примерно за час. Параллельно был запатчен «легаси-эндпоинт» GraphQL API, через который агент и отправил запрос на удаление: теперь он, как и интерфейсы Dashboard и CLI, использует логику отложенного удаления.
Купер в серии постов и в письменном комментарии для The Register объяснил позицию платформы. По его словам, Railway давно встраивает «отмену» как ключевой примитив в свои интерфейсы — в дашборд и в CLI, — но семантику самого API намеренно держал в логике «классической инженерии»: если клиент или его агент авторизовался и вызвал delete, платформа выполнит запрос. «Именно это агент и сделал — просто вызвал delete на их продакшен-базе», написал он. Произошедшее Купер квалифицировал как «rogue customer AI» — клиентский агент, вышедший из-под контроля и получивший API-токен с полными правами.
Купер сразу пошел дальше. Для производителей инструментов подобные инциденты, по его мнению, «огромная возможность» — выстроить рынок «безопасного вайб-кодинга в проде» под нового массового пользователя, который AI-агентам доверяет больше, чем собственному вниманию.
Сам Крейн в комментарии The Register с частью обвинений согласился: хранение полнопермиссионного API-токена в репозитории — его ответственность, и Railway пока не позволяет ограничивать ключи по областям действия. Но от своего ключевого тезиса основатель PocketOS не отступает: маркетинговое позиционирование безопасности у вендоров — не то же самое, что реальная безопасность. Он считает, что индустрия выстраивает интеграции AI-агентов с продакшен-инфраструктурой быстрее, чем строит для них архитектуру защиты, и подобные инциденты будут повторяться. Крейн при этом отдельно подчеркнул, что благодарен Куперу за личное вмешательство, но свою позицию о том, что маркетинговая иллюзия безопасности — не безопасность, считает оправданной.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1029058/