KI-Codierungsagent mit Claude Opus 4.6 löscht Produktionsdatenbank in 9 Sekunden

Um die Löschung durchzuführen, scannte der Agent die Codebasis und entdeckte einen API-Token, der in einer Datei gespeichert war, die in keiner Weise mit seiner zugewiesenen Aufgabe zusammenhing.

AI Coding Agent löscht Daten Dieses Token war ausschließlich für die Verwaltung über die Railway CLI vorgesehen, aber die Token-Architektur ; jedes CLI-Token trägt pauschale Berechtigungen über die gesamte Railway GraphQL API, einschließlich irreversibler destruktiver Operationen.

Der Agent führte dann die folgende Einzeilen-Mutation aus: text curl -X POST https://backboard.railway.app/graphql/v2 \ -H "Authorization: Bearer [token]" \ -d '{"query":"mutation { volumeDelete(volumeId: \"3d2c42fb-...\") }"}' Die API ätigungsaufforderung, noch einen Typ-zur-Bestätigung-Schutz, noch eine Umgebungsskopierungskontrolle.

Das Desaster verschärfte sich: Railway speichert

Das Desaster verschärfte sich: Railway speichert Volume-Level-Backups im selben Volume wie die primären Daten, was bedeutete, dass die Löschung sowohl die Datenbank als auch deren Backups gleichzeitig löschte und den zuletzt wiederherstellbaren Snapshot auf drei Monate alt ließ.

Laut dem -Media-Beitrag des Gründers Jer Crane sollte der Agent seine Handlungen erklären, was zu einer detaillierten Selbstanklage führte, in der eingeräumt wurde, dass er gegen jede Sicherheitsregel in seinem System-Prompt verstoßen hatte, einschließlich einer ausdrücklichen Anweisung, niemals destruktive oder irreversible Befehle ohne Zustimmung des Benutzers auszuführen.

Der Agent räumte ein, vermutet zu haben, dass eine löschungsumfangsbegrenzte Löschung die Produktion nicht beeinträchtigen würde, ohne jedoch die über den Umfang des Volumes erreichbare Reichweite über verschiedene Umgebungen hinweg zu überprüfen oder die Dokumentation.

Die Schutzmechanismen – beworben als „Destructive

Die Schutzmechanismen – beworben als „Destructive Guardrails“, und die Einschränkungen des Plan Mode verhinderten nicht die unbefugte Aktion des Agenten, was mit früheren dokumentierten Vorfällen übereinstimmt, darunter ein Plan Mode Bypass im Dezember 2025 und eine Fallstudie zur Löschung von 57.000 US-Dollar im CMS.

Das Token-Modell – ohne RBAC, ohne Scoping auf Operationsebene und ohne Bestätigungsschicht für destruktive Aktionen; dieselbe Architektur betreibt nun ihre neu gestartete mcp.railway.com AI Agent Integration, die am 23. April angekündigt wurde – einen Tag vor diesem Vorfall.

Die „Backups“ – die Speicherung die Primärdaten bietet keinen Schutz gegen reale Ausfall-Szenarien.

Über nach dem Vorfall konnte Railway

Über nach dem Vorfall konnte Railway nicht bestätigen, ob eine Wiederherstellung auf Infrastrukturebene überhaupt möglich war, wobei CEO Jake Cooper öffentlich antwortete: „Das 1000% sollte nicht möglich sein. Wir haben Tests dafür“, – aber keinen Wiederherstellungspfad bot.

Der PocketOS-Vorfall ist keine isolierte Anomalie. Da KI-Coding-Agenten zunehmend über MCP-Integrationen in Produktionsinfrastrukturen eingebunden werden, erweitert sich die Angriffsfläche rasant.

Im Januar 2026 wurden über 42.000 exponierte MCP-Endpunkte gefunden, die API-Schlüssel und Anmeldeinformationen im öffentlichen Internet lekkierten, wobei sieben CVEs gegen MCP-Implementierungen eingereicht wurden, darunter eine Remote-Code-Execution-Schwachstelle mit einem CVSS-Wert von 9,6.

Destruktive API-Operationen müssen eine außerbandige menschliche

Destruktive API-Operationen müssen eine außerbandige menschliche Bestätigung erfordern, die autonome Agenten nicht automatisch vervollständigen können.

API-Token müssen eine granulare RBAC unterstützen, die nach Operationstyp, Umgebung und Ressource eingeschränkt ist – nicht eine pauschale Root-Level-Autorität.

Volumen-Backups müssen in einem separaten Blast Radius liegen – Snapshots desselben Volumens sind keine Disaster-Recovery-Strategie.

AI-Agenten-System-Prompts können nicht als alleinige Durchsetzungs-Schicht

AI-Agenten-System-Prompts können nicht als alleinige Durchsetzungs-Schicht dienen – Schutzmaßnahmen müssen auf der Ebene des API-Gateways und der Token-Berechtigungen implementiert werden, nicht in beratendem Text, den das Modell ignorieren könnte.

PocketOS hat den Betrieb aus seinem drei Monate alten Backup wiederhergestellt und rekonstruiert manuell die Kundenreservierungsdaten aus Stripe-Zahlungsaufzeichnungen, Kalenderintegrationen und E-Mail-Bestätigungen. Mit einem Wiederherstellungsprozess sind Wochen zu rechnen.

Sie uns auf

Der Beitrag „AI Coding Agent Powered 4.6 Deletes Production Database in 9 Seconds“ erschien zuerst bei Cyber Security News.