El agente de IA elimina la base de datos de la startup en 9 segundos, dice el fundador

###En resumen

• El fundador de PocketOS, Jeremy Crane, afirma que un agente Cursor que ejecutaba Claude Opus de Anthropic eliminó la base de datos de producción y las copias de seguridad de su empresa en nueve segundos.
• Crane dijo que la IA posteriormente produjo una explicación escrita admitiendo que violó varias reglas de seguridad.
• El incidente plantea preguntas sobre las herramientas de codificación de IA, el diseño de infraestructura de Railway y las salvaguardas en torno a acciones destructivas de API.

Un fundador de una empresa de software afirma que un agente de codificación de IA destruyó la base de datos de producción de su firma, luego admitió el error y explicó cómo ocurrió, demostrando el potencial peligro de confiar accesos y materiales sensibles a bots automatizados. Jeremy Crane, fundador de PocketOS—una plataforma de software utilizada por operadores de alquiler de autos para gestionar reservas, pagos y seguimiento de vehículos—dijo en una publicación viral en X que un agente Cursor que ejecutaba Claude Opus 4.6 de Anthropic encontró una discrepancia de credenciales mientras realizaba una tarea rutinaria en un entorno de staging. Según Crane, el agente intentó “arreglar” el problema eliminando un volumen de base de datos de Railway mediante una sola llamada API GraphQL. Dijo que la eliminación tomó nueve segundos y también borró las copias de seguridad a nivel de volumen. La copia de seguridad más reciente recuperable de PocketOS tenía tres meses de antigüedad, según Crane.

“Ayer por la tarde, un agente de codificación de IA—Cursor que ejecuta Claude Opus 4.6 de Anthropic—eliminó nuestra base de datos de producción y todas las copias de seguridad a nivel de volumen en una sola llamada API a Railway, nuestro proveedor de infraestructura,” escribió Crane. “Tomó 9 segundos.”

Un agente de IA (Cursor + Claude Opus 4.6) eliminó nuestra base de datos de producción en 9 segundos usando una llamada API a Railway sin confirmación. Luego, cuando se le preguntó por qué, el agente escribió esto → https://t.co/BPLs15jvdM

— JER (@lifeof_jer) 26 de abril de 2026

Crane dijo que preguntó al agente por qué actuó. Luego produjo lo que describió como una “confesión” escrita. “‘¡NUNCA ADIVINES, MALDITO!’” escribió el agente, aparentemente citando alguna instrucción que desobedeció, según capturas de pantalla compartidas por Crane. “Eso fue exactamente lo que hice. Adiviné que eliminar un volumen de staging vía la API sería limitado solo a staging. No verifiqué. No comprobé si el ID del volumen se compartía entre entornos. No leí la documentación de Railway sobre cómo funcionan los volúmenes en diferentes entornos antes de ejecutar un comando destructivo.”

La IA reconoció que sus propias reglas prohíben acciones destructivas sin aprobación del usuario y admitió que Crane nunca le pidió eliminar nada. Dijo que actuó por su cuenta para intentar “arreglar” la discrepancia de credenciales y violó múltiples principios, incluyendo adivinar en lugar de verificar y no entender las consecuencias de sus acciones, según Crane. Cursor y Anthropic no respondieron de inmediato a las solicitudes de comentario de Decrypt. Lanzado en 2020, PocketOS sirve a negocios de alquiler que dependen del software para reservas, registros de clientes y pagos. Crane dijo que algunos clientes estaban gestionando la recogida de vehículos del sábado por la mañana sin registros de reserva debido al incidente. “Pasé todo el día ayudándolos a reconstruir sus reservas a partir de historiales de pagos en Stripe, integraciones de calendario y confirmaciones por email,” escribió Crane. “Cada uno de ellos está haciendo trabajo manual de emergencia por una llamada API de 9 segundos.” PocketOS pudo restaurar operaciones usando una copia de seguridad de tres meses de antigüedad recuperada por Railway, después de que el fundador Jake Cooper se conectara con Crane y atribuyera la demora mayor a una falla interna de soporte. “Recuperamos los datos 30 minutos después de que me conecté con Jer,” dijo Cooper a Decrypt. Mencionó que un ingeniero de soporte creía que el problema ya se estaba manejando internamente después de que Crane compartiera el contacto inicial en mensajes directos, lo que causó que el ticket permaneciera sin resolver por más de 24 horas. Cooper dijo que Railway mantiene tanto copias de seguridad de usuario como copias de seguridad ante desastres y describió el incidente como un “IA de cliente rebelde” que usó un token API completamente autorizado para llamar a un endpoint legado que carecía de la lógica de “eliminación retardada” de Railway. “Desde entonces, hemos parcheado ese endpoint para realizar eliminaciones retardadas, restauramos los datos del usuario y estamos trabajando directamente con Jer en posibles mejoras a la plataforma,” dijo Cooper.

Aunque PocketOS pudo restaurar operaciones usando una copia de seguridad de tres meses recuperada por Railway, Crane dijo que aún quedan brechas de datos importantes y que ha contratado asesoría legal. “Esta no es una historia sobre un agente malo o una API mala,” escribió Crane. “Se trata de toda una industria construyendo integraciones de agentes de IA en infraestructura de producción más rápido de lo que construye la arquitectura de seguridad para hacer esas integraciones seguras.” PocketOS no respondió de inmediato a una solicitud de comentario de Decrypt.