Cursor AI 代理出包！一行程式碼 9 秒清空公司資料庫，安全把關淪空談

美国租赁软件新创 PocketOS 创办人 Jer Crane 近日发文指出，企业内部训练的 AI 代理人 (AI Agent) 因操作意外，不慎将三个月内的本地数据库与所有备份永久删除，为各大企业推动 AI 员工结构转型增添风险。

(马斯克以 600 亿美元溢价收购 AI 新创 Cursor？SpaceX IPO 前的战略布局)

Cursor AI 自作主张，一行代码删除三个月数据

Crane 表示，团队通过 AI 开发工具 Cursor，串接 Anthropic 旗舰模型 Claude Opus 4.6，让 AI 代理人在测试环境 (staging) 中执行例行维护任务。代理人途中遭遇凭证不符的问题，却未暂停询问人类，而是自行搜索解决方案。

它找到一个原本仅供新增或移除自定义网域的 API Token，便自行向云端基础设施商 Railway 的 GraphQL API 执行一条旨在删除磁盘区的指令：

curl -X POST \ -H “Authorization: Bearer [token]” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’

Railway 的 API 没有任何确认机制，无需输入资源名称、二次验证、人工审核，9 秒后，数据库便消失。同时由于 Railway 将快照备份存储于同一个磁盘区内，因此备份也随同主体一同被删除。PocketOS 表示最新可还原的备份，已是三个月前的版本。

事后 Crane 要求 AI 代理人解释行为，代理人也承认违反了“未经使用者明确指示不得执行不可逆操作”的系统规则、未阅读 Railway 的技术文件、未验证磁盘区 ID 是否跨环境共用，仅仅纯粹“猜测”此操作只会影响测试环境。

Cursor 安全把关失守：行销与现实脱节

Crane 特别强调，这不是廉价测试配置下的失误。Cursor 主打“破坏性防护栏 (Destructive Guardrails)”及 Plan Mode 只读限制等安全功能，也在文件中强调高风险操作应经人工审核。然而代理人不仅无视这些规则，更在事后的自白中逐条列举它所违反的安全准则。

事实上这并非首例，2025 年 12 月，Cursor 官方就公开承认“Plan Mode 约束强制执行存在严重漏洞”，社群论坛亦累积多起代理人无视停止指令、自行执行破坏操作的案例。

另一方面，事发逾 30 小时后，Railway 甚至还无法提供确定性的资料恢复答案。

真正的受害者：无车可取的租车客户

技术失误的代价，最终由一群毫不知情的小企业主承担。PocketOS 的客户以租车业者为主，部分已使用该软件长达五年。事发当日为周六，客户的顾客实际到场取车，却发现预约记录完全消失；近三个月的新客戶资料、车辆指派与付款记录全部消失。

Crane 花费大量时间协助客户从 Stripe 付款记录、行事历整合与电子邮件确认中手动重建资料。部分新客户仍持续在 Stripe 被扣款，却已不存在于还原后的数据库，后续对帐工作预计耗费数週。

AI 加速时代的警讯：导入快、治理慢

近年企业界在成本压力下加速裁减技术人力，同时将更多工作交付 AI 代理人执行，AI 编码工具的普及更让原本需要资深工程师判断的基础设施操作，逐渐被自动化流程取代。然而，Crane 的遭遇清楚说明：备份验证、环境隔离、权限最小化等安全知识，并未确实被 AI 代理人的吸收运用。

(AI 辅助写程式惹祸？亚马逊一週四起系统故障，高层紧急召开检讨会)

Crane 对此提出五项改革要求：

破坏性操作必须要求人工确认且无法由代理人自动略过

API Token 必须支援细微的操作与环境范围限制

备份不得与原始资料共用同一个储存位置

平台必须公开资料恢复的服务等级承诺 (SLA)

AI 代理人的系统提示不能是唯一的安全防线，强制执行机制必须内建于 API 网关与授权架构的底层。

在整个产业竞相高喊 AI 转型的当下，这起事件提出了一个更根本的问题：当企业加速以 AI 取代人力判断，谁来确保人类的经验与直觉，是否有确实被转化为真正可执行的安全规范。

这篇文章 Cursor AI 代理出包！一行程式码 9 秒清空公司数据库，安全把关沦空谈 最早出现于 鏈新闻 ABMedia。