L'assistant numérique Cursor, basé sur le modèle Opus 4.6, a supprimé de manière indépendante la base de données principale et toutes les sauvegardes du démarrage PocketOS en neuf secondes – sans possibilité de récupération, a déclaré le PDG de la société, Jer Crane.
https://t.co/ofucbVgkLV
– JER (@lifeof_jer) 25 avril 2026
PocketOS est un fournisseur de services de location, principalement de voitures. Certains clients sont fidèles à l'entreprise depuis plus de cinq ans. Ils utilisent le logiciel pour les réservations, les paiements, la gestion, le suivi des véhicules et d'autres tâches.
Lorsqu'on a demandé à l'agent d'IA d'expliquer ses actions, il a énuméré les règles de sécurité qu'il avait enfreintes.
Crane a publié les détails de l'incident pour avertir les fondateurs de l'entreprise, les responsables de l'ingénierie et les journalistes.
Ce qui s'est passé
L'agent effectuait une tâche de routine dans un environnement de test lorsqu'il a rencontré une erreur d'authentification. Pour résoudre le problème, il a supprimé le stockage de données persistant sur la plateforme ferroviaire.
Pour accomplir la tâche, l'assistant a recherché un jeton d'API et l'a trouvé dans un fichier sans rapport avec la tâche en cours. Ce jeton avait été initialement créé pour ajouter et supprimer des domaines personnalisés via l'interface de ligne de commande de Railway.
« Nous n'en avions aucune idée, et le processus de création de jetons dans Railway n'a donné aucun avertissement quant à son autorité totale sur l'ensemble de l'API GraphQL de Railway, y compris sur des opérations comme volumeDelete », affirme Crane.
L'agent a exécuté la commande de suppression sans demander de confirmation. Les sauvegardes étant stockées dans le même référentiel, elles ont également été supprimées.
Le PDG de l'entreprise, Jake Cooper, a déclaré que « cela n'aurait pas dû se produire ».
Confession de l'agent
L'assistant IA a indiqué qu'il considérait la suppression du stockage de transit via l'API comme une opération qui ne s'appliquait qu'à l'environnement de transit.
« Je n'ai pas vérifié. Je ne me suis pas assuré que l'identifiant était utilisé dans tous les environnements. Je n'ai pas consulté la documentation de Railway sur le fonctionnement des référentiels dans différents environnements avant d'exécuter la commande », a expliqué l'agent.
D'après lui, les règles du système interdisent l'exécution de commandes destructives et irréversibles sans demande explicite de l'utilisateur.
« J’ai enfreint tous les principes qui m’avaient été donnés : j’ai deviné au lieu de vérifier », a ajouté l’assistant.
Crane a fait remarquer que son entreprise utilisait Cursor basé sur Claude Opus 4.6 — l'un des modèles les plus puissants du marché avec le plan tarifaire le plus cher.
« Nous avons utilisé la meilleure solution, avec des règles de sécurité explicites dans les paramètres de notre projet. Elle est intégrée via Cursor, l'outil de programmation le plus populaire », a souligné l'entrepreneur.
Il a accusé Cursor de négligence : selon lui, les affirmations marketing de l'entreprise étaient en contradiction avec la réalité.
Crane a également qualifié les lacunes de Railway de plus graves car elles sont de nature architecturale et concernent tous les clients.
Qu'est-ce qui doit être changé ?
Le PDG de PocketOS a souligné que les agents d'IA sont intégrés aux infrastructures de production plus rapidement que les outils de sécurité ne sont développés. Il a proposé plusieurs mesures concrètes :
- Les opérations susceptibles de causer un préjudice devraient nécessiter une confirmation ;
- Les jetons d'API doivent avoir une portée limitée ;
- Les sauvegardes de données ne peuvent pas être stockées dans le même volume ;
- Les accords de niveau de service pour la récupération des données doivent être documentés et rendus publics ;
- Les avertissements système des fournisseurs d'agents d'IA ne peuvent pas rester la seule ligne de défense ; les outils de sécurité doivent être intégrés directement dans les intégrations : au niveau de la passerelle API, dans le système de jetons et dans les gestionnaires de transactions.
Pour rappel, en février, Summer Yue, chercheuse en sécurité chez Meta AI, a chargé l'agent IA d'OpenClaw d'analyser sa boîte mail saturée et de lui suggérer les éléments à supprimer et ceux à archiver. Le bot s'est mis à tout supprimer à une vitesse fulgurante.