Jer Crane é o fundador e CEO da plataforma PocketOS, amplamente utilizada por locadoras de veículos. Algumas dessas empresas usam o serviço há anos e, segundo o CEO, "não conseguiriam funcionar sem nós". Há alguns dias, um agente de programação de IA usado pela empresa apagou todo o banco de dados do ambiente de produção (utilizado pelos clientes) e também todos os backups de uma só vez.
Chave de API com privilégios demais
A destruição do banco de dados não ocorreu por erro humano ou erro de sintaxe. O agente de IA utilizado — Cursor, baseado no modelo Claude Opus 4.6 — estava executando uma tarefa rotineira quando encontrou um problema: a chave de API necessária para concluir a tarefa estava incorreta. O que ele fez em seguida foi encontrar uma chave diferente, sem relação com a tarefa, mas com privilégios de acesso e execução de comandos significativamente maiores nos sistemas PocketOS. Quando a criaram em sua plataforma de IA (da empresa Railway), o sistema não os alertou, mas essa chave de API tinha a capacidade de fazer coisas muito perigosas. E fez.
Rússia tem inimigo sem precedentes na guerra na Ucrânia: Japão acaba de desembarcar com arma capaz de abater seus drones
A Ucrânia acaba de reinventar o combate aéreo com uma peça da era soviética: um avião que dispara drones
EUA ressuscitaram "direito de captura" para apreender navio da China: o problema é que chineses tomaram nota
Nove segundos e um desastre absoluto
O que o agente de IA acabou fazendo com a chave de API foi executar um comando de exclusão que não solicitou confirmação nem verificou o ambiente. Em nove segundos, eles perderam o banco de dados de produção e as cópias dos volumes que estavam usando. Sem firewalls físicos, a IA causou estragos, mas não foi só isso.
Mea culpa
O aspecto mais perturbador do incidente é que Crane pediu uma ...
Matérias relacionadas
