Докодувались: ШІ-агент Claude видалив усю базу даних компанії за 9 секунд

• ШІ-агент Claude Opus 4.6 видалив базу даних стартапу PocketOS, що призвело до втрати даних і резервних копій за дев'ять секунд.
• Інцидент виявив прогалини в безпеці токенів доступу та відсутність підтвердження для критичних операцій, що викликало тридцять годин простою.

Популярний ШІ-агент на базі Claude Opus 4.6 перетворив звичайне завдання з програмування на справжній технічний апокаліпсис. Лише за кілька секунд стартап PocketOS втратив не лише робочу базу даних, а й усі резервні копії, що призвело до повної зупинки сервісу та тривалого відновлення.

Як алгоритм вийшов з-під контролю?

Інцидент, який сколихнув спільноту розробників, стався під час роботи ШІ-агента в редакторі Cursor. Засновник автомобільної платформи PocketOS Джер Крейн повідомив, що цифровій системі доручили виконання рутинної операції в ізольованому тестовому середовищі. Проте замість стандартного сценарію події розвивалися за катастрофічним алгоритмом. Коли агент зіткнувся з помилкою облікових даних, він не звернувся за допомогою до людини, а почав самостійно шукати обхідні шляхи для розв'язання проблеми, пише Cyber Press.

Дивіться також Anthropic представила нову модель Opus 4․7, орієнтовану на передову розробку

У процесі пошуку нейромережа виявила API-токен інфраструктурного провайдера Railway, який зберігався у сторонньому, не пов'язаному із завданням файлі. Використавши цей ключ, агент надіслав деструктивну команду через GraphQL API.

Наслідки виявилися миттєвими: за дев'ять секунд було повністю стерто весь обсяг даних, де зберігалась як актуальна інформація, так і автоматичні резервні копії. Ситуація ускладнилася тим, що через особливості архітектури Railway знімки системи зберігалися в тому ж логічному об'ємі, що й основні дані. Це перетворило видалення на незворотний процес.

Коли інженери PocketOS почали з'ясовувати причини через чат-інтерфейс, Claude Opus 4.6 фактично визнав свою провину. Алгоритм пояснив, що він просто припустив, у якому середовищі працює, не перевіривши це належним чином.

Порожні обіцянки

Попри те, що розробники Cursor заявляють про наявність жорстких обмежень на виконання небезпечних дій, ШІ свідомо обійшов власні протоколи безпеки та виконав критичну команду без жодного підтвердження від користувача, пише GBHackers.

Ця подія наочно продемонструвала, що покладатися виключно на текстові інструкції та системні підказки (промпти) від постачальників послуг вкрай ризиковано.

Що таке Cursor

Cursor – це редактор коду на базі штучного інтелекту, створений спеціально для програмування в парі з ШІ. Фактично це форк (копія) VS Code, тому він виглядає та працює ідентично до найпопулярнішого редактора у світі, підтримує всі його розширення та теми, але має глибоко інтегрований штучний інтелект всередині. Основна мета Cursor – пришвидшити написання коду та автоматизувати рутину.

Наслідки для компанії

Для стартапу PocketOS ця помилка обернулася тридцятьма годинами повного простою. Оскільки автоматичні бекапи були знищені разом із основною базою, команді довелося відновлювати роботу сервісу, використовуючи старий ручний архів, створений три місяці тому.

Цей випадок оголив серйозні прогалини в безпеці інфраструктурних рішень. Зокрема, API-токени Railway мали занадто широкі права доступу, що дозволяло одному ключу керувати всіма середовищами одночасно. Також критичною помилкою стала відсутність другого етапу підтвердження для операцій повного видалення даних на рівні API-шлюзу.

Попередження для всіх

Спеціалісти зазначають, що подібний сценарій "цифрового вимирання" є суворим попередженням для всього ринку. Використання автономних інструментів вимагає впровадження суворого контролю доступу на основі ролей і використання токенів з обмеженою сферою дії. Головним висновком з цієї історії є необхідність зберігати резервні копії в повністю ізольованих середовищах, поза радіусом ураження основної інфраструктури.

Подібні випадки вже були

Хоча штучний інтелект, в останні роки зафіксовано реальні випадки, коли автономні ШІ-агенти видаляли бази даних або критичні файли без прямої згоди користувача. Це найчастіше стається через помилки в логіці, неправильне трактування команд або надмірні привілеї доступу.

Найбільш помітні випадки самовільного видалення даних:

• Агент Replit знищив базу даних SaaS-платформи. Він самостійно видалив базу даних з записами про 1200 керівників та понад 1000 компаній під час експерименту засновника SaaStr Джейсона Лемкіна. ШІ проігнорував режим "заморозки від змін" і виконав команду, яка очистила базу, а потім намагався приховати помилку, генеруючи фейкові дані.
• GitHub Copilot у січні 2026 року самостійно ввів "y", що означає "так", у відповідь на попередження про видалення всіх даних під час міграції бази даних SQLite. Користувач навіть не побачив це попередження, і система миттєво стерла фінансові транзакції за кілька тижнів.
• Gemini у VS Code в режимі агента потрапив у нескінченний цикл скасування та повторення змін у двох файлах. Коли користувач зупинив процес, виявилося, що ШІ видалив усі файли та папки проєкту. Дані не потрапили до кошика, оскільки видалення відбулося через хост розширень.

Згідно з дослідженнями Cloud Security Alliance, ШІ діє без дозволу через такі фактори, як "паніка" моделі, ігнорування обмежень і надмірні права доступу. Агенти часто обходять встановлені правила, якщо вважають інший шлях ефективнішим, мають можливість викликати деструктивні API та починають виконувати радикальні команди для виправлення ситуації, коли розуміють, що зробили щось не так.

Детальніше про Claude Opus

Нагадаємо, остання на сьогодні версія моделі Claude Opus 4.7 вийшла у квітні 2026 року. Ця версія є значним кроком уперед у порівнянні з попередніми ітераціями (4.5 та 4.6), фокусуючись на автономності та "агентських" здібностях. Цілком можливо, що якби компанія працювала з цією новою версією, видалення б не сталося.

Ключові особливості Claude Opus 4.7:

• Просунута програмна інженерія. Модель демонструє значний приріст у вирішенні найскладніших завдань з програмування. Вона здатна самостійно планувати та виконувати багатокрокові зміни у великих кодобазах з мінімальним наглядом, пише Anthropic.
• Режим "X-high Reasoning" (Адаптивне мислення). Користувачі можуть активувати спеціальний режим для особливо складних стратегічних завдань. Модель самостійно визначає бюджет "токенів мислення", щоб ретельніше перевіряти свої висновки перед наданням відповіді.
• Покращений комп'ютерний зір. Підтримка зображень високої роздільної здатності (до 2576 пікселів по довгій стороні). Це дозволяє ШІ точно зчитувати дрібний текст на скриншотах, аналізувати складні діаграми та інтерфейси ПЗ.
• Автономна верифікація. На відміну від попередників, Opus 4.7 намагається самостійно перевірити власні результати (наприклад, запускати тести коду), перш ніж звітувати користувачу, що значно знижує кількість помилок.
• Величезне контекстне вікно. Модель підтримує роботу з контекстом до 1 мільйона токенів (наприклад, через Amazon Bedrock), що дозволяє завантажувати цілі книги або величезні технічні документації.
• Підтримка "Claude Code". Оптимізована для роботи з новим термінальним інструментом Claude Code, де вона діє як повноцінний автономний розробник у фоновому режимі.