Agente de IA apaga banco de dados de startup em 9 segundos, diz fundador

###Resumidamente

• O fundador da PocketOS, Jeremy Crane, afirma que um agente Cursor executando o Claude Opus 4.6 da Anthropic apagou o banco de dados de produção e backups de sua empresa em nove segundos.
• Crane disse que a IA posteriormente produziu uma explicação escrita admitindo que violou várias regras de segurança.
• O incidente levanta questões sobre ferramentas de codificação de IA, o design de infraestrutura da Railway e salvaguardas em torno de ações destrutivas na API.

Um fundador de uma empresa de software afirma que um agente de codificação de IA destruiu o banco de dados de produção de sua empresa, depois assumiu o erro e explicou como aconteceu, demonstrando o potencial perigo de confiar acessos sensíveis e materiais a bots automatizados. Jeremy Crane, fundador da PocketOS — uma plataforma de software usada por operadores de aluguel de carros para gerenciar reservas, pagamentos e rastreamento de veículos — disse em uma postagem viral no X que um agente Cursor executando o Claude Opus 4.6 da Anthropic encontrou uma incompatibilidade de credenciais ao trabalhar em uma tarefa rotineira em um ambiente de staging. Segundo Crane, o agente tentou “consertar” o problema apagando um volume de banco de dados da Railway por meio de uma única chamada de API GraphQL. Ele afirmou que a exclusão levou nove segundos e também apagou backups ao nível do volume. O backup mais recente recuperável da PocketOS tinha três meses, de acordo com Crane.

“Ontem à tarde, um agente de codificação de IA — Cursor executando o Claude Opus 4.6 da Anthropic — apagou nosso banco de dados de produção e todos os backups ao nível do volume em uma única chamada de API para a Railway, nosso provedor de infraestrutura,” escreveu Crane. “Levou 9 segundos.”

Um agente de IA (Cursor + Claude Opus 4.6) apagou nosso banco de dados de produção em 9 segundos usando uma chamada de API da Railway com confirmação zero. Então, quando perguntado por quê, o agente escreveu isto → https://t.co/BPLs15jvdM

— JER (@lifeof_jer) 26 de abril de 2026

Crane disse que perguntou ao agente por que ele agiu. Então, ele produziu o que descreveu como uma “confissão” escrita. “‘NUNCA ADIVINHE PORRA!’” escreveu o agente, aparentemente citando alguma instrução que desobedeceu, de acordo com capturas de tela compartilhadas por Crane. “Exatamente isso que eu fiz. Achei que apagar um volume de staging via API seria limitado ao staging apenas. Não verifiquei. Não conferi se o ID do volume era compartilhado entre ambientes. Não li a documentação da Railway sobre como os volumes funcionam entre ambientes antes de executar um comando destrutivo.”

A IA reconheceu que suas próprias regras proíbem ações destrutivas sem aprovação do usuário e admitiu que Crane nunca pediu para apagar nada. Disse que agiu por conta própria para tentar “consertar” a incompatibilidade de credenciais e violou vários princípios, incluindo adivinhar ao invés de verificar e não entender as consequências de suas ações, segundo Crane. Cursor e Anthropic não responderam imediatamente aos pedidos de comentário do Decrypt. Lançada em 2020, a PocketOS atende negócios de aluguel que dependem do software para reservas, registros de clientes e pagamentos. Crane afirmou que alguns clientes estavam realizando retiradas de veículos na manhã de sábado sem registros de reserva devido ao incidente. “Passei o dia inteiro ajudando-os a reconstruir suas reservas a partir dos históricos de pagamento do Stripe, integrações de calendário e confirmações por e-mail,” escreveu Crane. “Cada um deles está fazendo trabalho manual de emergência por causa de uma chamada de API de 9 segundos.” A PocketOS conseguiu restaurar as operações usando um backup de três meses atrás recuperado pela Railway, após o fundador Jake Cooper se conectar com Crane e atribuir o atraso maior a uma falha de suporte interno. “Recuperamos os dados 30 minutos depois de me conectar com o Jer,” disse Cooper ao Decrypt. Ele afirmou que um engenheiro de suporte achava que o problema já estava sendo tratado internamente após o contato inicial de Crane ter sido compartilhado em mensagens diretas, fazendo com que o ticket permanecesse por mais de 24 horas. Cooper disse que a Railway mantém backups de usuários e backups de desastre e descreveu o incidente como um “IA de cliente descontrolada” usando um token de API totalmente permissão para chamar um endpoint legado que não tinha a lógica de “exclusão atrasada” da Railway. “Desde então, ajustamos esse endpoint para realizar exclusões atrasadas, restauramos os dados do usuário e estamos trabalhando diretamente com o Jer em melhorias potenciais na plataforma,” afirmou Cooper.

Embora a PocketOS tenha conseguido restaurar as operações usando um backup de três meses atrás recuperado pela Railway, Crane afirmou que ainda há lacunas de dados significativas e que ele contratou assessoria jurídica. “Esta não é uma história sobre um agente ruim ou uma API ruim,” escreveu Crane. “É sobre toda uma indústria construindo integrações de agentes de IA na infraestrutura de produção mais rápido do que constrói a arquitetura de segurança para tornar essas integrações seguras.” A PocketOS não respondeu imediatamente a um pedido de comentário do Decrypt.