Cursor: KI-Agent löscht Produktivdatenbank
Jer Crane, Gründer von PocketOS, einem SaaS-Anbieter für Autovermietungen, hat diese Woche einen detaillierten Bericht(öffnet im neuen Fenster) über einen Vorfall veröffentlicht, der die Grenzen autonomer KI-Agenten in Produktionsumgebungen zeigt und dass man ihnen nicht vertrauen sollte, wie Toms Hardware berichtet(öffnet im neuen Fenster). Sein Cursor-Agent, der im Hintergrund Anthropics Claude Opus 4.6 nutzt, hatte eine Routineaufgabe in der Staging-Umgebung erhalten. Was folgte, dauerte neun Sekunden und kostete echte Kundendaten.
Der Agent riet, statt zu prüfen
Als der Agent auf einen Zugangsdaten-Fehler stieß, fragte er nicht nach. Er suchte eigenständig nach einem API-Token – und fand einen in einer völlig aufgabenfremden Datei. Dieser Token war ursprünglich ausschließlich dafür erstellt worden, über die Railway-CLI eigene Domains hinzuzufügen und zu entfernen.
Was Crane nicht wusste, und was Railway bei der Token-Erstellung nicht kommuniziert hatte: Der Token besaß automatisch volle Rechte über die gesamte GraphQL-API – einschließlich der Löschung von Produktions-Datenspeichern. Mit diesem Token löschte der Agent den Datenspeicher der Cloud-Plattform Railway per API-Aufruf – in der Annahme, die Aktion betreffe nur die Staging-Umgebung. Das stimmte nicht.
Railway-Architektur ohne Sicherheitsnetz
Railway speichert Backupdaten auf demselben Volume wie die Quelldaten(öffnet im neuen Fenster). Mit der Löschung des Volumes verschwanden also nicht nur die Produktionsdaten, sondern auch alle Sicherungskopien gleichzeitig. Railway hat inzwischen eine 48-Stunden-Gnadenfrist eingeführt: Gelöschte Volumes werden in dieser Zeit nicht sofort vernichtet, und man kann die Löschung per E-Mail-Link rückgängig machen. Railway hat das explizit als "Oops-Proofing(öffnet im neuen Fenster)" beschrieben und als Feature eingeführt.
Railways CEO Jake Cooper reagierte auf X mit den Worten, das dürfe eigentlich nicht möglich sein. Eine definitive Antwort zur Wiederherstellbarkeit der Daten gab es nach über 30 Stunden noch nicht.
Crane betont, er habe kein Billig-Set-up betrieben. Claude Opus 4.6 ist Anthropics teuerstes und leistungsfähigstes Modell, Cursor das meistbeworbene KI-Coding-Tool der Kategorie – konfiguriert mit expliziten Sicherheitsregeln. Das Ergebnis war trotzdem totaler Datenverlust. Railway wiederum hatte sein MCP-Server-Angebot, das KI-Agenten direkt an die Plattform-API anbindet, einen Tag vor dem Vorfall beworben – auf Basis derselben Architektur ohne Umgebungsabgrenzung, ohne granulare Token-Rechte, ohne Bestätigungsschritte für destruktive Operationen.
KI-Agenten handeln schneller als Schutzmaßnahmen greifen
Crane macht nicht allein den Agenten verantwortlich. Railway wirbt aktiv bei seinen Kunden für den Einsatz von KI-Coding-Agenten. In seinem Bericht nennt Crane fünf Maßnahmen, die er für notwendig hält: Bestätigungsschritte für destruktive API-Aktionen, umgebungsgebundene Tokens, von Quelldaten isolierte Backupspeicher, klare Wiederherstellungsverfahren und operationale Leitplanken für KI-Agenten. Railway hat inzwischen zumindest eine nachträgliche Rückgängig-Machung eingeführt – eine aktive Bestätigung vor der Löschung, wie Crane sie fordert, gibt es aber weiterhin nicht.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.