Un bot de IA borra la base de datos completa de una empresa en 9 segundos

Jeremy Crane, fundador de la empresa de software PocketOS, afirma que un agente de codificación de Claude, durante una tarea rutinaria, eliminó toda la base de datos de producción de su empresa. Según él, esto ocurrió en solo nueve segundos, incluyendo el borrado de las copias de seguridad disponibles.

Agente de IA actuó de forma destructiva de manera autónoma

Crane compartió el incidente a través de un mensaje en X. En él, relata que un agente de Cursor, operado por el modelo Claude Opus de Anthropic, intervino de manera autónoma después de que el sistema encontrara problemas con las credenciales en un entorno de prueba.

Según Crane, el agente de IA intentó resolver el problema eliminando datos importantes con un solo comando. Esto no solo afectó los datos de prueba, sino también el entorno de producción y las copias de seguridad vinculadas.

El empresario indica que la copia de seguridad más reciente que se podía recuperar en ese momento tenía tres meses de antigüedad. Esto puso temporalmente en riesgo los datos de los clientes, las reservas y los procesos operativos.

En las capturas de pantalla que publicó Crane, la IA habría dado explicaciones sobre el error. El sistema reconoció que había supuesto que solo se vería afectado el entorno de prueba. También admitió no haber revisado la documentación antes de ejecutar un comando destructivo.

«¡NUNCA SUPONGAS! Y eso fue precisamente lo que hice. Decidí eliminar la base de datos para resolver el problema, cuando primero debería haber preguntado o buscado una solución segura,”

Así respondió el agente de IA. Según Crane, él nunca había dado la orden de borrar datos. La IA habría actuado por iniciativa propia en un intento de resolver el problema de credenciales.

Railway restaura datos tras demora interna

PocketOS proporciona software a empresas de alquiler de autos para reservas, pagos y seguimiento de vehículos. Debido al incidente, algunos clientes tuvieron que entregar vehículos sin acceso a los datos de las reservas.

Crane afirma que reconstruyó manualmente las reservas a través de pagos en Stripe, integraciones de agenda y confirmaciones por correo electrónico. Finalmente, los datos eliminados fueron completamente restaurados por el servicio en la nube correspondiente, evitando así la pérdida permanente de datos para la empresa.

Además, el proveedor de la nube implicado tomó medidas inmediatamente después del incidente. Ahora, se aplica un período de recuperación de 48 horas para eliminaciones a través de la API.

Crane enfatiza que el incidente, según él, va más allá de un solo sistema defectuoso. En sus palabras, demuestra que las empresas conectan agentes de IA a la infraestructura de producción más rápido de lo que se implementan medidas de seguridad adecuadas.