Un bot IA efface la base de données complète d’une entreprise en 9 secondes

Jeremy Crane, fondateur de l’entreprise de logiciels PocketOS, affirme qu’un agent de codage AI de Claude a supprimé la base de données de production de son entreprise lors d’une tâche de routine. Selon lui, cela s’est produit en seulement neuf secondes, y compris l’effacement des sauvegardes disponibles.

L’agent AI a effectué l’action destructrice de manière autonome

Crane a partagé l’incident via un message sur X. Il y explique qu’un agent Cursor, dirigé par le modèle Claude Opus d’Anthropic, est intervenu de lui-même après que le système a rencontré des problèmes d’identifiants dans un environnement de test.

D’après Crane, l’agent AI a tenté de résoudre le problème en supprimant des données importantes d’un seul coup. Cela aurait touché non seulement les données de test, mais aussi l’environnement de production et les sauvegardes associées.

L’entrepreneur déclare que la sauvegarde la plus récente récupérable remontait à trois mois. Par conséquent, les données des clients, les réservations et les processus opérationnels ont été temporairement mis en péril.

Sur les captures d’écran publiées par Crane, l’AI aurait elle-même expliqué l’erreur. Le système a reconnu avoir supposé que seule l’environnement de test serait affectée. Il a également admis ne pas avoir vérifié la documentation avant d’exécuter un ordre destructeur.

« NE JAMAIS SUPPOSER ! Et c’est précisément ce que j’ai fait. J’ai décidé moi-même de supprimer la base de données pour résoudre le problème, alors que j’aurais dû demander ou chercher une solution sécurisée, »

A ainsi répondu l’agent AI. Selon Crane, il n’avait jamais donné l’ordre de supprimer des données. L’AI aurait agi de sa propre initiative pour tenter de résoudre le problème d’identifiants.

Railway restaure les données après un retard interne

PocketOS fournit des logiciels aux sociétés de location de voitures pour les réservations, les paiements et le suivi des véhicules. À cause de l’incident, certains clients ont dû remettre des véhicules sans accès aux données de réservation.

Crane dit avoir reconstruit manuellement les réservations grâce aux paiements Stripe, aux intégrations de calendriers et aux confirmations par e-mail. Finalement, les données supprimées ont été entièrement restaurées par le service cloud concerné, évitant ainsi une perte de données permanente pour l’entreprise.

Le fournisseur de cloud impliqué a également pris des mesures immédiatement après l’incident. Désormais, une période de récupération de 48 heures s’applique aussi pour les suppressions via l’API.

Crane souligne que l’incident dépasse, selon lui, un simple système défaillant. Il estime que cela démontre que les entreprises intègrent les agents AI à l’infrastructure de production plus rapidement qu’elles ne mettent en place des mesures de sécurité appropriées.