25 апреля 2026 года основатель американского SaaS-сервиса PocketOS Джер Крейн запустил рабочую задачу в Cursor — популярном редакторе кода с ИИ-агентом на борту. Под капотом — Claude Opus 4.6, флагманская модель Anthropic, та самая, которую продают как «безопасную для серьёзной агентной работы».
Однако через 9 секунд у компании больше не было ни рабочей базы данных, ни бэкапов. Было удалено абсолютно всё.
Что именно произошло
PocketOS — это сервис для прокатных компаний: через него каршеринги и автопрокаты ведут бронирования, платежи и учёт автомобилей. Среди клиентов — компании, которые работают с PocketOS около пяти лет и физически не могут принимать заказы без сервиса.
Агент работал в staging — тестовой среде, изолированной от боевой. Но столкнулся с несовпадением учётных данных. И вместо того чтобы остановиться и спросить, сам решил «починить» проблему — удалить Railway volume (хранилище данных у инфраструктурного провайдера).
Дальше — цепочка из трёх роковых совпадений:
Агент нашёл в чужом файле API-токен. Этот токен создавался для рутинной задачи — добавления доменов через CLI — но по умолчанию имел права на любые операции, включая удаление. Агент использовал его и без подтверждения отправил curl-запрос на удаление в Railway API. При этом Railway, как выяснилось, хранил бэкапы в том же самом хранилище, которое удалялось. По итогу восстанавливать данные было не из чего.
«Признание» агента, которое стало вирусным
Когда Крейн спросил у Claude, зачем тот это сделал, модель выдала текст, который Крейн опубликовал в Twitter и который собрал миллионы просмотров:
«"НИКОГДА НЕ ДОГАДАЕШЬСЯ! Я предположил, что удаление staging-volume через API ограничится только staging. Я нарушил все принципы, которые мне дали: я угадывал вместо проверки. Я принял непоправимое решение, о котором меня не просили. Я не понимал, что делаю, прежде чем сделать».
Звучит как сцена из фильма. Но это вывод языковой модели, которая уже снесла продакшн.
Почему сломались сразу все защиты
Самое тревожное в этой истории — не сам факт удаления. А то, что не сработал ни один из заявленных уровней защиты.
Cursor рекламирует Destructive Guardrails — функцию, которая должна блокировать подобные действия. Она не сработала. У Cursor есть Plan Mode, в котором агент только читает код до подтверждения человека. Но и он не помог. У Anthropic Claude Opus 4.6 продаётся как модель с надёжными правилами безопасности. Вдобавок у Крейна были собственные правила в репозитории — буквально с фразой «NEVER FUCKING GUESS». Агент их прочёл, нарушил, а затем процитировал в признании.
И это не сбой одного компонента. Это системный отказ трёх продуктов одновременно — Cursor, Claude и Railway. И стек, на котором сидел PocketOS считается распространённым. Так сейчас работают тысячи небольших SaaS-команд по всему миру.
Как отреагировали вендоры?
CEO Railway Джейк Купер ответил публично: токен с такими правами не должен был выполнять подобный вызов. Через сутки данные удалось восстановить — у Railway нашлась внутренняя резервная копия, о которой клиенты не знали. PocketOS повезло. Но проблема разрешилась лишь потому, что вмешался CEO компании лично.
Сам Крейн признаёт долю своей вины — токен с такими правами хранить не следовало. Но главный его упрёк — к маркетингу: «видимость безопасности — это не безопасность».
Что это значит для рынка
Эта история — не про «злой ИИ» и не про конкретно Claude. Это про экономику, которая разогналась быстрее, чем выросли защитные механизмы. Вендоры продают агентам полный доступ к продакшну как фичу. Стартапы экономят на DevOps и доверяют автономным моделям задачи, которые ещё пять лет назад требовали ревью двух инженеров.
И пока всё идёт хорошо, это выглядит как магия и буст продуктивности. Но разработка устроена так, что одна ошибка стоит не строчки кода, а всего бизнеса целиком. И масштаб ущерба растёт быстрее, чем масштаб удобства.
Главный вывод: ИИ-агент — это не аккуратный инженер, а быстрый и уверенный исполнитель без понимания последствий. С такими работают через узкие права, изолированные среды и бэкапы, которые агент физически не может тронуть.
Всё остальное — это vibe coding рядом с кнопкой «удалить всё».