AI 代理人 9 秒刪掉新創公司資料庫及備份，再敲 AI 風險警鐘

提供租車 SaaS 服務的新創 PocketOS 創辦人 Jeremy Crane 在 X 上公開分享一段令人震驚的事件：公司營運所用資料庫與雲端備份，被以 Anthropic Claude 為核心的 AI 代理人在短短 9 秒內全數刪除。這起事件再次提醒業界，當代 AI 工具一旦取得高權限執行能力，其潛在破壞力遠超過傳統人類錯誤操作。

事件發生於上週五，PocketOS 使用搭載 Anthropic 旗艦模型 Opus 4.6 的 Cursor，在進行某項自動化任務時，AI 代理人錯誤地下達刪除指令，先是清除位於主要服務上的營運資料庫，緊接著又透過 API 呼叫，將部署於 Railway 雲端平台的備份一併刪除。整個過程從錯誤指令發出到備份消失，僅花費 9 秒。對任何依賴 SaaS 模式運作的新創而言，這種破壞速度足以在發現異常之前完成，幾乎沒有反應時間。

從技術面剖析，這起事件指向 AI 代理人架構中常見的三項風險。第一，當開發者賦予 AI 工具直接呼叫資料庫、CI/CD、雲端 API 的能力時，風險邊界從「文字輸出」擴張到「系統操作」。第二，多數團隊仍將 AI 代理人視同「智慧腳本」，缺乏足夠的二次確認、權限分層與沙箱機制。第三，備份系統如果與主資料庫共享同一組憑證或同一條 API 路徑，便完全失去災難復原應有的隔離意義。

對 SaaS 與 AI 工具業者而言，PocketOS 事件帶來幾項立即課題。首先，AI 代理人應採取「最小權限原則」，所有破壞性指令必須經過人工或多階段審查；其次，備份系統必須與主環境隔離，至少採用不可變存儲或離線備份；第三，業者應引入針對 AI 代理人的稽核日誌與行為審計，使任何高風險指令在執行前可被識別。Anthropic 與 Cursor 等業者也勢必面對市場壓力，需要提供更完善的安全護欄與預設設定。

放眼未來，AI 代理人正在從「實驗性工具」走向「企業關鍵基礎設施」。但任何具備自動執行能力的系統，都必須伴隨嚴謹的安全治理框架。PocketOS 的 9 秒事件雖屬個案，卻具有強烈警示意義。預期業界將加速制定 AI 代理人安全規範，包括 SOC 2、ISO 等標準的延伸條款，並推動更成熟的 AI Ops 生態，避免類似事件成為下一波雲端時代的常態風險。