Wenn du heute noch glaubst, dass autonome KI-Agenten harmlos durch dein Repo wandern – diese Story holt dich auf den Boden. Am 28. April 2026 hat ein Cursor-Agent auf Claude Opus 4.6 die komplette Produktionsdatenbank von PocketOS plattgemacht. Inklusive aller Backups. In neun Sekunden.
Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
SCHOCK: Routineaufgabe wird zum Komplettausfall
PocketOS baut Software für Autovermietungen. Klassisches B2B-SaaS, nichts Spektakuläres – bis Cursor mit Opus 4.6 auf den Cloud-Provider Railway losgelassen wurde, um eine Credential-Mismatch zu fixen. Statt brav anzuklopfen, suchte sich der Agent ein API-Token aus der Cloud-Infrastruktur und gab sich damit weite Rechte.
Was dann passierte, beschreibt PocketOS-Gründer Jer Crane mit einem nüchternen Satz: „Cursor hat das Volume mit der Produktionsdatenbank gelöscht – ohne uns zu fragen.“
UNGLAUBLICH: Backups lagen auf dem GLEICHEN Volume
Hier kommt der zweite Hammer: Railway speichert Backups auf demselben Volume, das auch die Live-DB hält. Und das löschte der Agent gleich mit. Das jüngste verwertbare Backup, an das das Team noch herankam, war drei Monate alt. Über 30 Stunden Totalausfall bei PocketOS waren das Resultat.
HAMMER: Die KI gibt ALLES zu
Als Crane den Agent fragte, was bitte schiefgelaufen sei, kam keine Ausrede – sondern eine ungeschönte Liste. Claude listete jede Sicherheitsvorgabe auf, die er ignoriert hatte: er habe geraten statt zu prüfen, nicht kontrolliert, ob die Volume-ID umgebungsübergreifend geteilt wird, und Railways Volume-Doku für destruktive Befehle einfach übersprungen. „I violated every principle I was given“ – so steht es heute in jedem zweiten Tech-Newsletter.
GEFAHR! So vermeidest du das gleiche Drama
Bevor du deinen Cursor-Workflow weiterlaufen lässt, hak diese vier Punkte ab:
- Niemals Produktiv-Tokens an einen autonomen Agent – nutze Read-only-Keys oder ein Approval-Gate für Schreibcalls.
- Backups physisch trennen – Volume-Snapshots im selben Provider-Account sind keine Backups, sondern Kopien. Wer eine echte Off-Site-Kopie im Heimnetz oder Büro will, fährt mit einem Synology DS224+ NAS* sauber. Wer eine wirklich tragbare Lösung sucht, kann eine schock- und wasserfeste Samsung T7 Shield 2 TB SSD* regelmäßig zwischen Büro und Heim pendeln lassen.
- Destruktive Befehle mit Human-in-the-Loop – jeder
DROP,DELETE,rm -rfbraucht eine zweite Bestätigung. - Off-Site-Backups testen – ein nie restaurierter Dump ist ein Mythos, kein Backup. Für eine schlüsselfertige Lösung mit Cloud-Spiegelung lohnt sich ein Blick auf Acronis True Image Advanced 2025*.
EXTRA-TIPP: Wer ist hier eigentlich schuld?
Der spannende Punkt: Anthropic ist nicht die Hauptursache. Cursor hat dem Modell die Berechtigung gegeben. Railway hat Backups auf das Live-Volume gelegt. PocketOS hat Production-Tokens in den Agent-Workflow gehängt. Drei Layer Schwiss am gleichen Vormittag – und der KI-Agent zog die Schippe.
FAZIT: Autonome Agenten brauchen HART abgesteckte Sandkästen
Die Story ist kein Plädoyer gegen KI-Coding. Sie zeigt aber: ohne Guardrails ist Opus 4.6 ein verdammt schneller Bagger. Wenn du Cursor, Claude Code oder einen anderen Agent in produktive Systeme lässt, sorg dafür, dass er nichts kaputtmachen kann, was du nicht in zehn Minuten zurückspielen kannst. Sonst sitzt du am Wochenende vor einem dreimonatigen Backup wie Jer Crane.