O agente de IA Cursor baseado no Opus 4.6 excluiu o banco de dados da startup - ForkLog: criptomoedas, IA, singularidade, futuro

# Agente de IA Cursor baseado no Opus 4.6 excluiu o banco de dados da startup

Assistente digital Cursor, baseado no modelo Opus 4.6, excluiu por conta própria o banco de dados principal e todas as cópias de segurança da startup PocketOS em nove segundos, sem possibilidade de recuperação. O responsável por isso foi o CEO da empresa, Jer Crain.

https://t.co/ofucbVgkLV

— JER (@lifeof_jer) 25 de abril de 2026

PocketOS é fornecedora de serviços de aluguel, principalmente de automóveis. Alguns clientes da empresa trabalham com ela há mais de cinco anos. Eles usam o software para reservas, pagamentos, gerenciamento, rastreamento de veículos e outras tarefas.

Quando o agente de IA foi solicitado a explicar suas ações, ele listou as regras de segurança que violou.

Crain publicou detalhes do ocorrido para alertar fundadores de empresas, líderes de departamentos de engenharia e jornalistas.

O que aconteceu

O agente realizava uma tarefa rotineira em um ambiente de teste quando encontrou uma inconsistência nas credenciais. Para resolver o problema, ele excluiu o armazenamento persistente de dados na plataforma Railway.

Para executar a tarefa, o assistente procurou por um token de API e o encontrou em um arquivo que não tinha relação com a tarefa atual. O token foi originalmente criado para adicionar e remover domínios de usuário via Railway CLI.

“Não tínhamos a menor ideia, e o processo de criação de tokens no Railway não avisava que ele tinha plenos poderes sobre toda a API Railway GraphQL, incluindo operações como volumeDelete”, afirma Crain.

O agente executou o comando de exclusão sem solicitar confirmação. Como o Railway armazena backups no mesmo armazenamento, eles também desapareceram.

O CEO da empresa, Jake Cooper, afirmou que “isso não deveria ter acontecido”.

Reconhecimento do agente

O assistente de IA afirmou que considerava a exclusão do armazenamento intermediário via API uma operação aplicável apenas ao ambiente intermediário.

“Eu não verifiquei. Não confirmei se o identificador era usado em todos os ambientes. Não li a documentação do Railway sobre como os armazenamentos funcionam em diferentes ambientes antes de executar o comando”, explicou o agente.

Segundo ele, as regras do sistema proíbem a execução de comandos destrutivos e irreversíveis sem uma solicitação explícita do usuário.

“Quebrei todos os princípios que me foram dados: eu adivinhava em vez de verificar”, acrescentou o assistente.

Crain destacou que sua empresa utilizava Cursor baseado no Claude Opus 4.6 — um dos modelos mais poderosos do mercado, com o plano tarifário mais caro.

“Aplicamos a melhor solução com regras de segurança explícitas na configuração do nosso projeto. Ela está integrada ao Cursor — a ferramenta mais popular para programação”, afirmou o empreendedor.

Ele culpou o Cursor por negligência: segundo ele, as declarações de marketing da empresa não condizem com a realidade.

Crain também considerou os defeitos do Railway ainda mais graves, pois têm caráter arquitetônico e afetam todos os clientes.

O que precisa ser mudado

O CEO da PocketOS destacou que os agentes de IA estão sendo integrados à infraestrutura de produção mais rapidamente do que as ferramentas de proteção estão sendo desenvolvidas. Ele propôs várias medidas concretas:

• operações que possam causar danos devem exigir confirmação;
• tokens de API devem ter escopo limitado;
• backups de armazenamento não podem estar no mesmo volume;
• acordos de nível de serviço para recuperação de dados devem ser documentados e publicados;
• alertas do sistema de fornecedores de IA não podem ser a única linha de defesa — as medidas de segurança devem estar embutidas nas próprias integrações: na API gateway, no sistema de tokens e nos manipuladores de operações.

Lembre-se de que, em fevereiro, a pesquisadora de segurança da Meta AI, Summer Yue, pediu ao agente de IA OpenClaw para verificar seu e-mail lotado e sugerir o que deve ser excluído e o que arquivado. O bot começou a excluir tudo com velocidade relâmpago.