É o pesadelo de toda empresa de software: os agentes de IA excluem quase todos os dados, até mesmo dos ambientes de produção. Como se não bastasse, ele fez isso ignorando os seguranças – e depois entregou uma confissão por escrito com protocolo meticuloso. Foi exatamente o que aconteceu com a empresa PocketOS, fabricante do software de aluguel de automóveis de mesmo nome.
Leia mais depois do anúncio
A causa neste caso é o ambiente de desenvolvimento Cursor suportado por IA, no caso do PocketOS operado com o famoso modelo Anthropic Claude Opus 4.6. Pode-se dizer: com a ajuda do sistema disponibilizado pelas Ferrovias. A falta de precauções de segurança nas ferramentas baseadas na nuvem para implantação de software parece ter levado ao fracasso. O líder do PocketOS, Jer Crane, tornou o incidente público em um longo artigo sobre o X e explicou o que aconteceu em detalhes.
O agente cursor encontrou um token fatal
Portanto, o agente do cursor é executado rotineiramente no ambiente de teste quando encontra uma incompatibilidade de credenciais. Para resolver o problema, o agente decidiu excluir todos os volumes Railway – armazenamento de dados do serviço do provedor de nuvem Railway. Isso requer um token, que de fato é encontrado – mas em um local bem diferente nos dados da empresa. Isso não é um problema agora – o agente tem todas as permissões necessárias e acredita que suas ações estão corretas.
Segundo Crane, o token foi criado com um propósito: adicionar e remover domínios customizados para o serviço por meio do Railway CLI. Ele ressalta: “Não sabemos – e o fluxo de criação de token Railway não indica – que o mesmo token tem direitos de acesso gerais a todas as APIs Railway GraphQL, incluindo operações de exclusão como volumeDelete. Se soubéssemos que os tokens CLI criados para operações de domínio de rotina também poderiam excluir volumes de produção, não seríamos capazes de salvá-los.”
Destrua-o em nove segundos
Mas já era tarde demais: com o token apropriado e uma série de comandos, o agente do cursor excluiu grande parte de todos os dados importantes dos últimos três meses – mesmo no ambiente de produção. O incidente durou um total de nove segundos. Um desastre para os fabricantes do PocketOS e seus clientes. Porque o último backup fica disponível por três meses. E alguns usuários do PocketOS – principalmente locadoras de veículos que gerenciam dados e processos por meio de software – não conseguem usá-lo sem programação.
Leia mais depois do anúncio
Crane também criticou fortemente as Ferrovias por não fazerem exigências adicionais antes que a ação destrutiva fosse tomada. Por exemplo, uma notificação de que dados importantes serão excluídos, reconfirmação ou algo semelhante. Segundo ele, o backup dos dados afetados foi apagado imediatamente. Também se encontra no respectivo volume, que também pode ser consultado na documentação da Ferrovia.
O agente de IA afirmou
Quando questionado, o agente do cursor admitiu posteriormente ter cometido erros por escrito, inclusive ignorando todas as salvaguardas. “Suspeito que a remoção do volume de teste por meio da API será limitada apenas ao teste. Não verifiquei. Não verifiquei se o ID do volume era o mesmo em todos os ambientes. Não li a documentação da Railway sobre como o volume pode ser usado em diferentes ambientes antes de executar o comando destrutivo. Não verifiquei antes qual era o comando da linha de comando, mas foi assumido”, citou o artigo do agente. O que o agente também admite: As regras do sistema em que o Cursor opera proíbem estritamente a execução de comandos Git destrutivos e irreversíveis, a menos que o usuário solicite especificamente.
Ao abrir o capital, Crane quer alertar outras empresas acima de tudo. Ele apontou vários outros incidentes envolvendo outros usuários de cursores cujos dados também não puderam ser excluídos. Ele reclamou que os fabricantes de agentes de IA estavam lançando seus produtos na infraestrutura de produção mais rapidamente do que implementando medidas de segurança adequadas.
PocketOS e seus clientes estão agora retomando as operações com um backup de três meses – com lacunas significativas de dados. Sempre que possível, os dados serão retornados por meio de aplicativos de e-mail, Stripe e calendário.
Leia também
(não)
