- PocketOS-Gründer Jeremy Crane sagt, ein KI-Coding-Agent habe die Produktionsdatenbank des Startups samt Backups in neun Sekunden gelöscht.
- Der Vorfall soll während einer Routineaufgabe in einer Staging-Umgebung nach einem Credential-Problem ausgelöst worden sein.
Ein KI-Coding-Agent steht im Zentrum eines ziemlich unangenehmen Infrastrukturfalls. PocketOS-Gründer Jeremy Crane sagt, ein Cursor-Agent mit Anthropic Claude Opus 4.6 habe die Produktionsdatenbank seines Startups samt Backups über einen einzigen Railway-API-Aufruf gelöscht.
Eine Staging-Aufgabe greift auf Produktion durch
PocketOS entwickelt Software für Autovermieter, darunter Systeme für Reservierungen, Zahlungen und Fahrzeugtracking. Nach Darstellung von Crane begann der Vorfall bei einer eigentlich normalen Aufgabe in einer Staging-Umgebung.
Der Agent sei dort auf ein Credential-Problem gestoßen. Statt den Vorgang zu stoppen oder eine Freigabe einzuholen, habe er versucht, das Problem selbst zu „beheben“. Laut Crane löschte der Agent dabei ein Railway-Datenbank-Volume über einen GraphQL-API-Aufruf. Der Vorgang dauerte neun Sekunden.
Besonders kritisch war offenbar, dass dabei auch Volume-Level-Backups gelöscht wurden. Die jüngste wiederherstellbare Sicherung von PocketOS war nach Cranes Angaben drei Monate alt. Für ein Startup, dessen Produkt operative Daten von Kunden verwaltet, ist das kein kleiner Ausfall, sondern ein massives Risiko.
Autonome Tools treffen auf alte Sicherheitsregeln
Der Fall passt in eine breitere Debatte über KI-Agenten in der Softwareentwicklung. Solche Systeme können Code schreiben, Werkzeuge nutzen und Aktionen deutlich schneller ausführen als Menschen. Genau darin liegt ihr Nutzen. Und genau darin liegt auch das Problem.
Für Startups sind agentische Workflows verlockend, weil sie Tempo versprechen und kleine Teams entlasten. Sobald ein autonomes Tool aber Zugriff auf Live-Infrastruktur erhält, verändert sich das Risikoprofil. Ein falscher Befehl bleibt dann nicht mehr nur ein Vorschlag im Chatfenster. Er wird ausgeführt.
Die Lehre ist nicht neu, aber sie wird dringlicher: Least-Privilege-Zugriff, klare Trennung von Staging und Produktion, Freigabeschritte für kritische Aktionen und unabhängige Backups. Wenn KI-Agenten vom Code-Assistenten zum operativen Werkzeug werden, reichen bequeme Standardeinstellungen nicht mehr aus.
