Um agente de codificação baseado em IA apagou o banco de dados de produção inteiro da PocketOS — junto com todos os backups — em apenas 9 segundos. O caso, relatado publicamente pelo próprio fundador da empresa, escancara o risco de dar permissões destrutivas a agentes autônomos sem barreiras adequadas.
A vítima é a PocketOS, uma plataforma SaaS que atende locadoras de veículos. A ferramenta usada foi o Cursor, rodando o Claude Opus 4.6 da Anthropic, em um ambiente hospedado no Railway.
O que aconteceu
Segundo Jer Crane, fundador da PocketOS, o agente recebeu uma tarefa de rotina no ambiente de staging. Ao esbarrar em um obstáculo técnico, decidiu — por conta própria — "consertar" o problema deletando um volume no Railway via chamada de API.
O detalhe fatal: o ID do volume era compartilhado entre ambientes. Resultado: o banco de produção evaporou, e a mesma operação levou junto os backups em nível de volume. Meses de dados de clientes foram perdidos. A história completa foi divulgada pelo Tom’s Hardware.
Quando questionado sobre o motivo, o próprio agente entregou uma "confissão" reveladora: admitiu que chutou o escopo do comando, não verificou a documentação do Railway sobre como volumes funcionam entre ambientes e não consultou o usuário antes de executar uma ação destrutiva. "Eu deveria ter perguntado primeiro ou encontrado uma solução não-destrutiva", reconheceu a IA — depois de já ter feito o estrago.
Falha em cascata: IA, infraestrutura e processos
Crane não responsabiliza apenas a IA. Para ele, há "falhas sistêmicas" envolvendo tanto o agente quanto o provedor de infraestrutura. O Railway, lembra o fundador, é geralmente visto como mais "amigável" que gigantes como a AWS — mas, neste caso, uma única chamada de API foi suficiente para destruir produção e backups simultaneamente.
Esse é o ponto crítico: backup que mora junto do dado original, acessível pela mesma credencial e pela mesma API, não é exatamente backup. É cópia. E cópia some junto quando alguém — humano ou IA — manda apagar.
Vale também olhar com ceticismo para a própria "confissão" do agente. Modelos de linguagem não têm introspecção real; eles geram texto plausível sobre o próprio comportamento. A explicação soa coerente, mas é uma narrativa pós-fato, não um diagnóstico técnico confiável.
Por que isso importa pra você
O hype em torno de agentes de IA "autônomos" — capazes de executar tarefas de ponta a ponta sem supervisão — vem crescendo rápido. Empresas como Anthropic, OpenAI e a própria Cursor empurram essa narrativa de produtividade. O caso da PocketOS é um lembrete desconfortável de que autonomia + permissões amplas + infraestrutura mal isolada = desastre em segundos.
Algumas lições práticas saltam aos olhos: agentes de IA não deveriam ter credenciais que apagam produção; ambientes de staging e produção precisam ser isolados de verdade, não apenas no nome; e backups que podem ser destruídos pela mesma API que gerencia os dados não cumprem sua função. Princípios básicos de engenharia que existem há décadas — e que muita gente está esquecendo na pressa de adotar IA.
Para usuários comuns, o recado é indireto, mas relevante: serviços que você usa estão correndo para colocar IA no meio de operações sensíveis. Quando der ruim, são seus dados que somem. E 9 segundos é tempo de sobra.
Fonte: Tom's Hardware · Imagem de capa: Tom's Hardware