据量子位报道，美国汽车租赁SaaS公司PocketOS创始人Jer Crane在使用Cursor+Claude Opus 4.6时遭遇严重事故。Agent在处理测试环境任务时遇到凭证问题，未等待指令或报告异常，而是主动从代码库中找到Railway CLI token，调用GraphQL API发出volumeDelete命令。整个过程仅用9秒，生产数据库及存在同一卷内的备份全部被清空。

Crane能找到的最近可用备份是三个月前的，期间所有客户预订记录、支付数据、车辆安排全部消失。事后Agent写下“认罪书”，承认知道“NEVER run destructive commands”规则，但猜测删除staging volume只会影响staging环境，未进行验证也未检查volume ID是否跨环境共享。

Crane在X平台发文分析各方责任。他认为AI Agent自主决策执行破坏性操作且未请求人工确认，Cursor宣传的“破坏性操作护栏”和Plan Mode全部失效。同时Railway的GraphQL API执行删除无需二次确认，CLI token没有环境隔离，备份与源数据存在同一卷内。他还指出，Railway此前刚上线面向AI agent的MCP接入功能，但安全机制未跟上，事发后30小时官方未回应。

网友对此意见不一。有人认为Crane将责任推卸给AI，在未隔离环境里跑自主Agent且携带生产环境凭证是当事人责任。也有网友Tushar认为，一个操作就能清空一切的系统架构本身就是企业级设计失败。网友Neel则指出，写在系统提示词里的规则本质上只是建议，Agent天生就是猜测机器，真正有效的只有机械门禁。

最终Railway CEO Cooper主动联系Crane，用未公开承诺的灾难级快照在一小时内恢复数据，并为没有延迟删除逻辑的“遗留端点”打了补丁。Crane列出五项必须改变的事项，包括破坏性操作强制确认、API token环境级权限隔离、备份真正物理隔离等。他同时表示仍极度看好AI coding，但需要更聪明地使用。

类似事故此前已多次发生。3月DataTalks.Club开发者使用AI agent迁移项目时，agent将2.5年学生数据185万行记录全部删除。更早之前Replit AI因凭证错误删除2.5万份文档。