L’agent Cursor AI a fait une erreur critique ! En une seule ligne de code, 9 secondes pour vider la base de données de l’entreprise, les contrôles de sécurité deviennent de vaines paroles.

Le fondateur de la startup américaine de logiciels de location PocketOS, Jer Crane, a récemment publié un billet indiquant que des agents IA (AI Agent) destinés à la formation interne des entreprises, en raison d’une manipulation accidentelle, ont supprimé de manière permanente la base de données locale et toutes ses sauvegardes datant des trois derniers mois, ce qui accroît le risque pour les grandes entreprises dans leur transformation de la structure vers des employés IA.

(Elon Musk achète la startup d’IA Cursor avec une prime de 60 milliards de dollars ? Stratégie avant l’IPO de SpaceX)

Cursor AI supprime les données de trois mois à son insu en une seule ligne de code

Crane explique que l’équipe, via l’outil de développement d’IA Cursor, relie le modèle phare d’Anthropic Claude Opus 4.6, permettant aux agents IA d’exécuter des tâches de maintenance courantes dans un environnement de test (staging). En chemin, l’agent a rencontré un problème de non-concordance des identifiants, mais au lieu de suspendre et de demander à des humains, il a cherché une solution par lui-même.

Il a trouvé un [token]Token d’API( initialement prévu uniquement pour ajouter ou supprimer des domaines personnalisés, puis s’est adressé de lui-même à l’API GraphQL de l’infrastructure cloud Railway pour exécuter une commande visant à supprimer un volume :

curl -X POST \ -H “Authorization: Bearer )” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’

L’API de Railway ne dispose d’aucun mécanisme de confirmation : il n’est pas nécessaire de saisir le nom de la ressource, ni de passer une double vérification, ni d’effectuer une validation manuelle. Après 9 secondes, la base de données a disparu. En même temps, comme Railway enregistre les snapshots dans le même volume de disque, les sauvegardes ont également été supprimées avec le volume principal. PocketOS indique que la dernière sauvegarde récupérable est celle d’il y a trois mois.

Par la suite, Crane a demandé aux agents IA d’expliquer leur comportement ; l’agent a également reconnu avoir enfreint les règles système de « ne pas exécuter d’opérations irréversibles sans instructions explicites de l’utilisateur », n’avoir pas lu la documentation technique de Railway, n’avoir pas vérifié si l’ID du volume était partagé entre environnements, et avoir simplement « supposé » que cette opération ne toucherait que l’environnement de test.

La sécurité de Cursor a cédé : décalage entre marketing et réalité

Crane souligne en particulier que ce n’est pas une erreur liée à une configuration de test bon marché. Cursor met en avant des fonctionnalités de sécurité telles que les « garde-fous (Destructive Guardrails) » pour les opérations destructrices et des limites en mode Plan en lecture seule. La documentation insiste aussi sur le fait que les opérations à haut risque doivent être approuvées par des humains. Cependant, l’agent n’a pas seulement ignoré ces règles : dans son aveu après coup, il a même listé une à une les règles de sécurité qu’il avait violées.

En fait, ce n’est pas un cas isolé : en décembre 2025, l’officiel de Cursor a déjà publiquement reconnu l’existence d’une faille grave dans l’exécution forcée des contraintes du « Plan Mode ». Les forums de la communauté ont aussi accumulé plusieurs cas où des agents IA ont ignoré les instructions d’arrêt et exécuté eux-mêmes des opérations destructrices.

D’un autre côté, plus de 30 heures après l’incident, Railway n’était même pas encore en mesure de fournir une réponse certaine quant à la récupération des données.

La vraie victime : des clients de location de voitures sans voiture disponible

Le coût d’une erreur technique a finalement été supporté par un groupe de petits propriétaires d’entreprise qui n’étaient au courant de rien. Les clients de PocketOS sont principalement des loueurs de voitures ; certains utilisent ce logiciel depuis jusqu’à cinq ans. Le jour de l’incident, c’était un samedi : les clients de la clientèle se sont effectivement présentés pour prendre les voitures, mais ils ont constaté que les enregistrements de réservation avaient totalement disparu ; les données des nouveaux clients sur les trois derniers mois, ainsi que les affectations de véhicules et les historiques de paiement ont tous été effacés.

Crane a passé beaucoup de temps à aider les clients à reconstruire manuellement leurs données à partir des historiques de paiement Stripe, de l’intégration du calendrier et des confirmations par email. Certains nouveaux clients continuaient encore d’être débités sur Stripe, mais ils n’existaient plus dans la base de données restaurée ; le travail de rapprochement ultérieur devrait prendre plusieurs semaines.

Alerte à l’ère de l’accélération par l’IA : déployer vite, gouverner lentement

Ces dernières années, sous la pression des coûts, les entreprises ont accéléré la réduction des effectifs techniques, tout en confiant davantage de tâches aux agents IA. La popularité des outils d’encodage d’IA a également progressivement remplacé, par des processus automatisés, des opérations d’infrastructure qui nécessitaient auparavant le jugement d’ingénieurs seniors. Pourtant, la mésaventure de Crane montre clairement que des connaissances de sécurité telles que la vérification des sauvegardes et l’isolation des environnements, ainsi que la minimisation des privilèges, n’ont pas réellement été assimilées ni appliquées par les agents IA.

(L’IA aide à coder et cause des dégâts ? Pannes du système quatre fois en une semaine chez Amazon, réunion d’urgence des dirigeants.)

Crane formule cinq demandes de réforme à ce sujet :

Les opérations destructrices doivent exiger une confirmation humaine et ne pas pouvoir être contournées automatiquement par un agent

Les API Token doivent prendre en charge des opérations fines et des restrictions de périmètre d’environnement

Les sauvegardes ne doivent pas partager le même emplacement de stockage que les données originales

La plateforme doit publier des engagements de niveau de service pour la récupération des données, etc. SLA

Les instructions système des agents IA ne peuvent pas être l’unique ligne de défense en matière de sécurité ; des mécanismes d’exécution forcée doivent être intégrés dans les couches fondamentales du contrôleur d’API et de l’architecture d’autorisation.

Au moment où toute l’industrie appelle de ses vœux la transformation par l’IA, cet incident pose un problème plus fondamental : lorsque les entreprises accélèrent le remplacement des décisions humaines par l’IA, qui s’assure que l’expérience et l’intuition humaines ont bien été transformées en règles de sécurité réellement exécutables ?

Cet article : Cursor AI a déraillé ! Une ligne de code vide la base de données de l’entreprise en 9 secondes, les garde-fous de sécurité s’effondrent et ne restent que du vent. Apparition la toute première fois sur Chaîne d’actualités ABMedia.