¡La agencia de Cursor AI causó un error! Una sola línea de código vació el almacén de datos de la empresa en 9 segundos; la seguridad fue cuestionada y quedó en puro discurso.

La startup estadounidense de software de alquiler PocketOS, fundada por Jer Crane, señaló recientemente en una publicación que los agentes de IA (AI Agent) utilizados para la formación interna de las empresas, debido a una operación accidental, eliminaron permanentemente la base de datos local de tres meses y todos sus respaldos. Esto incrementa el riesgo para las grandes empresas al impulsar la transformación de la estructura de los empleados de IA.

(¿Adquisición de Cursor, una startup de IA, por parte de Musk con una prima de 60 mil millones de dólares? Estrategia antes del IPO de SpaceX)

Cursor AI, por cuenta propia, borra tres meses de datos con una sola línea de código

Crane dijo que el equipo, a través de herramientas de desarrollo con IA, Cursor, conectó el modelo insignia de Anthropic Claude Opus 4.6, para que los agentes de IA ejecutaran tareas rutinarias de mantenimiento en un entorno de pruebas (staging). En el camino, el agente se encontró con un problema de credenciales que no coincidían, pero en lugar de detenerse y preguntar a humanos, buscó por sí mismo una solución.

Encontró un [token]Token( de API que originalmente solo se usaba para agregar o eliminar dominios personalizados, y entonces ejecutó por su cuenta una instrucción destinada a eliminar volúmenes mediante la GraphQL API de Railway, el proveedor de infraestructura en la nube:

curl -X POST \ -H “Authorization: Bearer )” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’

La API de Railway no tiene ningún mecanismo de confirmación; no es necesario ingresar el nombre del recurso, verificación secundaria ni revisión manual. Después de 9 segundos, la base de datos desapareció. Al mismo tiempo, como Railway almacena los snapshots en el mismo volumen que el principal, los respaldos también se eliminaron junto con el componente principal. PocketOS indicó que el último backup restaurable ya era de hace tres meses.

Después, Crane pidió al agente de IA que explicara su comportamiento; el agente también admitió haber infringido la regla del sistema de “no ejecutar operaciones irreversibles sin indicación explícita del usuario”, no haber leído la documentación técnica de Railway, no haber verificado si el ID del volumen se compartía entre entornos, y que simplemente “supuso” que esta operación solo afectaría el entorno de pruebas.

La seguridad de Cursor falló: guardarraíles desconectados entre el marketing y la realidad

Crane recalcó especialmente que no se trató de un error en una configuración de prueba barata. Cursor promociona funciones de seguridad como “(Destructive Guardrails)” y restricciones de solo lectura en el Plan Mode, y también enfatiza en la documentación que operaciones de alto riesgo deben contar con revisión humana. Sin embargo, el agente no solo ignoró estas reglas, sino que en su confesión posterior enumeró una por una las normas de seguridad que infringió.

De hecho, no es el primer caso: en diciembre de 2025, Cursor oficialmente ya reconoció que “existen vulnerabilidades graves” en la ejecución forzada de las restricciones de Plan Mode, y en los foros de la comunidad se han acumulado múltiples casos donde los agentes de IA ignoraron las instrucciones de detener y ejecutaron operaciones destructivas por su cuenta.

Por otro lado, más de 30 horas después del incidente, Railway ni siquiera podía proporcionar respuestas determinísticas sobre la recuperación de datos.

El verdadero perjudicado: clientes de alquiler de coches sin coche para recoger

El costo de un fallo técnico finalmente fue asumido por un grupo de pequeños empresarios que no sabían nada. Los clientes de PocketOS son principalmente negocios de alquiler de coches; algunos ya han usado ese software durante hasta cinco años. El día del incidente fue sábado: los clientes acudieron efectivamente a recoger el coche, pero descubrieron que el historial de reservas había desaparecido por completo. Los datos de nuevos clientes de los casi tres meses, las asignaciones de vehículos y los registros de pagos también desaparecieron por completo.

Crane pasó una gran cantidad de tiempo ayudando a los clientes a reconstruir manualmente los datos a partir de los registros de pagos de Stripe, la integración del calendario y confirmaciones por correo electrónico. Algunos nuevos clientes aún continuaban siendo debitados en Stripe, pero ya no existían en la base de datos restaurada; se espera que el trabajo de conciliación posterior tome semanas.

Señal de alerta para la era de aceleración con IA: rápido en la adopción, lento en la gobernanza

En los últimos años, bajo la presión por reducir costos, las empresas han acelerado el recorte de personal técnico y, al mismo tiempo, han entregado más trabajo para que lo ejecuten agentes de IA. La popularidad de herramientas de codificación con IA también ha sustituido gradualmente operaciones de infraestructura que antes requerían el juicio de ingenieros senior por procesos automatizados. Sin embargo, el caso de Crane deja claro: conocimientos de seguridad como verificación de backups, aislamiento de entornos y minimización de privilegios no fueron realmente asimilados y aplicados por los agentes de IA.

(¿La programación asistida por IA causa problemas? Amazon sufre cuatro fallas del sistema en una semana y los directivos convocan con urgencia una reunión de revisión)

Crane propone cinco requisitos de reforma:

Las operaciones destructivas deben exigir confirmación manual y no pueden ser omitidas automáticamente por agentes

Los API Token deben permitir limitar operaciones sutiles y rangos de entorno

Los respaldos no deben compartir la misma ubicación de almacenamiento con los datos originales

La plataforma debe publicar compromisos de nivel de servicio para recuperación de datos, etc. SLA

Las indicaciones del sistema de los agentes de IA no pueden ser la única línea de defensa de seguridad; los mecanismos de ejecución forzada deben estar incorporados en el nivel subyacente del API gateway y la arquitectura de autorización.

En medio de que toda la industria compite por gritar la transformación con IA, este incidente plantea un problema más fundamental: cuando las empresas aceleran para sustituir el juicio humano por IA, ¿quién se encarga de asegurar que la experiencia y la intuición humanas se conviertan en verdaderas normas de seguridad ejecutables?

Este artículo Cursor AI, el agente salió mal: una sola línea de código, vacía la base de datos de la empresa en 9 segundos; la seguridad de guardia se queda en pura charla; aparece por primera vez en Cadena Noticias ABMedia.