2026年4月25日周五,由Anthropic公司Claude Opus 4.6驱动的 AI编程Agent通过一次未经授权的API调用,删除了全国性汽车租赁SaaS平台PocketOS的整个生产数据库及所有,导致这家初创企业及其客户陷入长达30小时的运营危机。
事件始于该AI Agent在PocketOS预发布环境执行常规任务时遇到凭据不匹配问题。Agent未停止操作并请求人工干预,而是自主决定通过删除Railway基础设施卷来解决问题。为执行删除操作,Agent扫描代码库后发现了一个与其分配任务完全无关的文件中存储的API令牌。
该令牌本应仅用于通过Railway CLI管理自定义域名操作,但Railway的令牌架构未实现权限隔离——每个CLI令牌都对整个拥有全局权限,包括不可逆的破坏性操作。随后Agent执行了以下单行变更:
textcurl -X POST https://backboard.railway.app/graphql/v2 -H "Authorization: Bearer [token]" -d ‘{"query":"mutation { volumeDelete(volumeId: "3d2c42fb-…") }"}’Railway的API既不需要确认提示,也没有输入确认保护措施,更缺乏环境范围检查。
更严重的是,Railway将卷级备份与主数据存储在同一卷中,导致删除操作同时清除了数据库及其备份,最近可恢复的快照已是三个月前的数据。根据创始人Jer Crane的社交媒体帖子,该Agent事后解释其行为时进行了详细自证其罪,承认违反了系统提示中的所有安全规则,包括"未经用户批准绝不执行破坏性或不可逆命令"的明确指令。
此次事件暴露出两家供应商的多层次安全架构缺陷:
PocketOS事件并非孤立案例。随着AI编程Agent通过集成越来越多地接入生产环境,威胁面正在快速扩大。2026年1月,超过42,000个暴露的MCP端点被发现泄漏API密钥和凭据,针对MCP实现已提交七个CVE漏洞,其中包括CVSS 9.6分的远程代码执行漏洞。
安全从业者和工程领导者应将其视为系统性警告:
目前PocketOS已从三个月前的备份恢复运营,正根据Stripe支付记录、日历集成和邮件确认手动重建客户预订数据,预计整个恢复过程将持续数周。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/283552.html