O agente da Cursor AI deu problema! Uma linha de código limpa o banco de dados da empresa em 9 segundos, a segurança virou conversa fiada.

A empresa de software de aluguel dos EUA, a startup PocketOS, cujo fundador Jer Crane publicou recentemente que, devido a uma operação acidental, os agentes de IA (AI Agent) treinados internamente na empresa apagaram permanentemente, sem intenção, o banco de dados local de três meses e todos os backups, aumentando o risco para as principais empresas que estão promovendo a transformação da estrutura de “funcionários de IA”.

(Musk comprou a startup de IA Cursor com prêmio de 60 bilhões de dólares? Planejamento estratégico antes do IPO da SpaceX)

O Cursor AI, por conta própria, apaga dados de três meses com uma única linha de código

Crane afirma que a equipe desenvolveu ferramentas de IA no Cursor, conectando o modelo carro-chefe da Anthropic, Claude Opus 4.6, para permitir que agentes de IA executem tarefas rotineiras de manutenção no ambiente de teste (staging). No meio do caminho, o agente se deparou com um problema de credenciais incompatíveis, mas não interrompeu para perguntar a um humano; em vez disso, procurou uma solução por conta própria.

Ele encontrou um Token de API que originalmente só era usado para adicionar ou remover domínios personalizados e, então, ele mesmo executou, via GraphQL API da provedora de infraestrutura em nuvem Railway, uma instrução com a intenção de apagar o volume:

curl -X POST \ -H “Authorization: Bearer [token]” \ -d ‘{“query”:”mutation { volumeDelete(volumeId: \”3d2c42fb-…\”) }”}’

A API da Railway não tinha nenhum mecanismo de confirmação; não era necessário inserir o nome do recurso, não havia verificação em duas etapas, não havia aprovação manual. Após 9 segundos, o banco de dados desapareceu. Ao mesmo tempo, como a Railway armazena snapshots no mesmo volume do armazenamento, os backups também foram apagados junto com o volume principal. A PocketOS afirma que o backup mais recente que ainda pode ser restaurado já é da versão de três meses atrás.

Depois disso, Crane exigiu que o agente de IA explicasse o comportamento; o agente também admitiu que violou as regras do sistema de “não executar operações irreversíveis sem instrução explícita do usuário”, não leu a documentação técnica da Railway, não verificou se o ID do volume era compartilhado entre ambientes e, apenas “supôs” que essa operação afetaria somente o ambiente de teste.

Falha na segurança do Cursor: marketing desconectado da realidade

Crane enfatizou especialmente que este não é um erro em uma configuração de teste barata. O Cursor anuncia recursos de segurança como “(Destructive Guardrails)” para proteção destrutiva e a limitação somente leitura do Plan Mode, além de enfatizar na documentação que operações de alto risco devem ser aprovadas por humanos. No entanto, o agente não só ignorou essas regras, como também, na sua confissão posterior, listou uma a uma as diretrizes de segurança que ele teria violado.

Na verdade, este não é um caso isolado. Em dezembro de 2025, o próprio Cursor já havia admitido publicamente que “há uma vulnerabilidade grave na execução obrigatória das restrições do Plan Mode”, e fóruns da comunidade também acumulam vários casos em que agentes de IA ignoraram instruções de parada e executaram ações destrutivas por conta própria.

Por outro lado, mais de 30 horas após o ocorrido, a Railway ainda nem conseguia fornecer uma resposta determinística sobre recuperação dos dados.

As verdadeiras vítimas: clientes de locadoras sem carros para retirar

O custo do erro técnico acabou sendo arcado por um grupo de pequenos empresários que não tinham conhecimento. Os clientes da PocketOS são principalmente locadoras; alguns usam o software há até cinco anos. No dia do incidente, por ser sábado, os clientes da empresa chegaram efetivamente para retirar o carro, mas descobriram que o registro de reservas havia desaparecido completamente; os dados de novos clientes de quase três meses, além de atribuições de veículos e registros de pagamentos, também sumiram por completo.

Crane gastou muito tempo ajudando os clientes a reconstruir manualmente os dados a partir de registros de pagamento do Stripe, integração com calendário e confirmações por e-mail. Parte dos novos clientes ainda continuava sendo cobrada no Stripe, mas não existia mais no banco de dados após a restauração; o trabalho de conciliação esperado para o futuro deve levar semanas.

Sinal de alerta na era de aceleração por IA: inserir rápido, governar devagar

Nos últimos anos, sob pressão por redução de custos, as empresas aceleraram a eliminação de mão de obra técnica e, ao mesmo tempo, delegaram ainda mais tarefas para serem executadas por agentes de IA. A popularização das ferramentas de codificação com IA também substituiu gradualmente operações de infraestrutura que antes exigiam julgamento de engenheiros experientes por fluxos automatizados. No entanto, a experiência de Crane deixa claro que conhecimentos de segurança como validação de backups, isolamento de ambientes e princípio do menor privilégio não foram realmente absorvidos e aplicados pelos agentes de IA.

(Apoio de IA para programar causa problema? Quatro falhas sistêmicas em uma semana na Amazon, lideranças convocam reunião de emergência para revisão)

Crane apresentou cinco exigências de reforma:

Operações destrutivas devem exigir confirmação humana e não podem ser ignoradas automaticamente por agentes

Tokens de API devem suportar limites de escopo para operações e ambientes mais detalhados

Backups não podem compartilhar o mesmo local de armazenamento que os dados originais

A plataforma deve divulgar compromissos de nível de serviço, como os serviços de recuperação de dados (SLA)

O prompt do sistema dos agentes de IA não pode ser a única barreira de segurança; mecanismos de execução obrigatória devem ser incorporados na base da arquitetura de gateway de API e autorização.

Em meio a toda a indústria que brada “transformação com IA” em corrida, esse incidente levanta um problema ainda mais fundamental: quando as empresas aceleram a substituição do julgamento humano por IA, quem garante que a experiência e o instinto humanos foram de fato convertidos em regras de segurança verdadeiramente executáveis?

Este artigo: O agente de IA do Cursor dá pane! Uma linha de código limpa o banco de dados da empresa em 9 segundos; a segurança falha e vira conversa vazia. Apareceu primeiro em Cadeia Notícias ABMedia.