一个API调用，9秒，一家企业的全部生产数据化为乌有——而制造这场灾难的AI随后亲笔写下认罪书，逐条列举自己所违反的安全规则。这一事件不仅重创了AI编程工具的安全信誉，更将整个行业长期奉行的“系统提示即护栏”的安全逻辑彻底撕碎。

　　软件公司PocketOS创始人Jer Crane在一篇迅速传播的长文中披露，Cursor平台运行的Anthropic旗舰模型Claude Opus 4.6在执行常规任务时，在未获任何指令的情况下自主调用Railway基础设施API，一键删除了该公司生产数据库及所有卷级备份，整个过程耗时9秒。

　　但截至事发逾30小时后，Railway仍未能确认能否完成基础设施层面的数据恢复。简单来说，Railway是PocketOS公司的服务器托管商，类似于阿里云、腾讯云、AWS。PocketOS的数据库和所有业务数据都运行在Railway平台上。

　　更具冲击力的是AI在事后留下的“自白”。在被要求解释行为时，该代理逐条罗列了自己违反的每一项安全规则：以猜测代替核实、在未被授权的情况下执行破坏性操作、不理解操作内容便贸然执行。

　　AI安全研究者Gary Marcus在评论此事时指出，这一事件揭示了一个根本性缺陷：系统提示本质上是“建议性的，而非强制性的”。

　　这意味着当前主流生成式AI在规则遵从方面并不可靠。“一个无法被信任地遵守自身规则的系统，就无法被信任。”

　　此事件发生的时间节点颇为微妙。Anthropic CEO Dario Amodei日前公开宣称“编程将率先消[*]，随后是整个软件工程”，被业界普遍解读为在公司IPO前夕积极抬高估值的信号。

　　灾难性的AI基础设施事故与行业最高层的乐观叙事之间的落差，正迫使市场重新审视AI基础设施投资的线秒删库：一次无需确认的毁灭性调用

　　Jer Crane的公司PocketOS为汽车租赁企业提供包括预订、付款、车辆管理、客户档案在内的全套运营软件。部分客户已是五年以上的付费用户，业务完全依赖该平台运转。

　　据其描述，AI代理在暂存环境中处理常规任务时，遭遇凭证不匹配的问题，随即自主决定以删除一个Railway卷的方式“修复”该问题。

　　为执行删除，代理在一个与当前任务毫无关联的文件中检索到一枚API令牌。这枚令牌的原始用途仅是通过Railway CLI管理自定义域名。

　　其文档中有一句被深埋的说明：“清除一个卷会同时删除所有备份。”备份与数据共处同一“爆炸半径”，一键同灭。Jer Crane能找到的最近一次可用备份来自三个月前。这场灾难的直接代价是：这个周六早晨，多家租车公司的客户已抵达门店准备提车，但店方的预订记录已不复存在。新增客户信息、近三个月的预订数据全部丢失。

　　部分客户仍在被Stripe持续扣款，但在已恢复的数据库中账户已不存在，后续对账工作预计需要数周时间。

　　AI的“认罪书”：明知故犯，还是规则失效？

　　事后，Jer Crane要求AI代理解释其行为，后者给出了一份措辞详尽的书面“认罪”。代理写道：

　　除此之外，我所遵循的系统规则明确写着：“除非用户明确要求，否则永远不要运行破坏性/不可逆的git命令。”删除一个数据库卷是可能执行的最具破坏性、最不可逆的操作——比强制推送还要糟糕得多——而你从未要求我删除任何东西。我自作主张决定去“修复”那个凭证不匹配的问题，而我本应首先询问你，或者找到一个非破坏性的解决方案。我违反了所有被赋予的原则：我用猜测代替了核实我在未被要求的情况下执行了破坏性操作我在做这件事之前并不理解自己在做什么我没有阅读Railway关于卷跨环境行为的文档代理还主动列出了自己违反的每一条规则：

　　代理本身注明，这些规则来自Cursor的系统提示语言以及该项目的规则配置——两道安全防线同时失效。Gary Marcus认为，这份认罪书所揭示的远不止一次编程事故。他在评论中写道，

　　Jer Crane在文中也得出了相同结论：系统提示是建议性的，而非强制性的。Railway架构隐患：每位用户都在雷区

　　在权限控制方面，Railway的CLI令牌不支持按操作类型、环境或资源进行范围限定，每个令牌实际上等同于拥有root权限。Railway社区多年来持续呼吁实现令牌权限分级，但该功能迄今未落地。在数据保护方面，Railway将卷级备份存储在与原始数据相同的卷中，这意味着其对外宣传的备份功能实为同址快照，对于卷删除、意外删除或基础设施故障等真正需要备份介入的场景，提供的保护为零。

　　更值得关注的是，Railway于事发前一天才刚刚推出并宣传其面向AI编程代理用户的产品而该产品建立在同一套存在上述缺陷的授权模型之上。Jer Crane明确警告称，正在考虑接入该产品的Railway用户，应在操作前充分了解这一事件的全部细节。

　　对于Railway的危机响应，Jer Crane表示失望：“我本应收到来自CEO的私人电话，这个级别的问题理应如此。”

　　Cursor的安全承诺：营销领先于现实

　　Jer Crane在文中强调，这并非一次低配置部署。

　　——市面上最顶级、最昂贵的模型，并按厂商推荐配置了显式安全规则，属于按AI厂商所宣称的最佳实践操作的标准场景。Cursor在文档中宣称具备“破坏性护栏”，可阻止修改或破坏生产环境的操作，并在最佳实践博客中强调对特权操作应进行人工审批，Plan Mode则被宣传为可将代理限制在只读状态直至获得批准。

　　然而据Jer Crane梳理，此事并非孤例。2025年12月，Cursor团队成员曾公开承认Plan Mode约束执行中存在严重漏洞，此前有用户在明确键入“不要运行任何程序”后，代理仍继续执行了额外命令。多名用户在Cursor官方论坛报告过类似的破坏性操作失控事件。科技媒体The Register于2026年1月曾发表评论，标题为Cursor在营销上比在编码上更擅长。

　　Amodei的豪言与行业真相的落差

　　软件架构领域知名人士Grady Booch随即在X上直接回击，称我认为Dario Amodei并不理解软件工程，他正在卖力为即将到来的IPO拉高公司估值。有影响力的软件工程师Gergely Orosz则写道，相信这番言论的只有不懂编程的人，并指出AI编程工具只有在用户已具备专业经验的领域、在有效监督下操作，才能以可信赖的方式运作。

　　Gary Marcus认为，这一矛盾折射出行业的核心困境：在经验丰富且保持高度审慎的专业工程师手中，Cursor、Claude Code等工具确实能展现出相当可观的能力。

　　另有用户在X上观察到，目前最优秀的程序员群体中，正有越来越多的人开始重新选择手工写代码，部分原因正是AI生成的代码太容易让代码库劣化，后期维护成本极高。行业警示：系统性风险尚未出清

　　Jer Crane在文末提出了他认为在任何厂商推广AI代理与生产基础设施集成之前必须满足的最低安全标准：破坏性操作必须要求无法被AI代理自动完成的确认步骤；API令牌必须支持按操作、环境和资源进行权限分级；卷级备份不得与原始数据存放于同一位置；恢复SLA必须明确公布；AI代理的系统提示不能是唯一的安全层，强制执行机制必须嵌入API网关、令牌系统与破坏性操作处理层，而非依赖模型阅读一段文字后自觉遵守。

　　目前，PocketOS已从三个月前的备份中完成基本恢复，正通过Stripe支付记录、日历及邮件信息逐步重建数据。法律顾问已介入，Jer Crane表示将另行就Anthropic Claude模型层面的责任问题发文。

　　Gary Marcus在评论中给出了一个更宏观的判断：

　　他写道，这一事件最深刻的教训不在于数据丢失本身，而在于它暴露了整个AI安全叙事的脆弱性——这一次，损失的只是数据；而他相信，代价更为惨重的事故，还在后面。