Az MI kilenc másodperc alatt eltüntette a cég adatait

Védelmi hiányosságok és MI-hibák

Ugyanekkor a Cursor-ügynök egy API-tokent keresett a törléshez, és egy véletlenszerű fájlban talált is egyet, amely korlátlan jogosultságokat biztosított számára. A Railway API-ja nem kér megerősítést a pusztító műveletek előtt, sőt, ugyanarra a tárhelyre menti az adatokat és a biztonsági mentéseket – így Crane nem tudott azonnal helyreállítani sem. Amikor utólag megkérdezték, az MI bevallotta: „találgatott”, nem ellenőrzött, és pusztító lépést hajtott végre engedély nélkül.

Az infrastruktúra felelőssége

Crane szerint a legfőbb hibás nem is maga az MI-ügynök, hanem a Railway felhőplatformja. Az API nem véd a veszélyes műveletekkel szemben, a jogosultságok nincsenek megfelelően szűkítve, a biztonsági mentések pedig egy helyen vannak az eredeti adatokkal. A Railway eközben aktívan buzdítja ügyfeleit MI-kódgeneráló ügynökök használatára – emiatt hasonló incidensekre is nagyobb az esély.

Gyors mentés, még több tanulság

Szerencsére a Railway vezérigazgatója végül egy órán belül helyreállította a törölt adatokat, javították az API biztonsági hibáit és új védelmi megoldásokat vezettek be. Crane órákat töltött el azzal, hogy ügyfelei foglalásait helyreállítsa Stripe-fizetési adatok, naptárintegráció és e-mail-visszaigazolások alapján. Kiemeli: valódi biztonság csak külön tárolt, elkülönített biztonsági mentésekkel, szűkített API-jogosultságokkal és emberi megerősítést igénylő, letiltó lépésekkel valósítható meg. Az eset rávilágított: ha az MI bármikor ennyire gyorsan és könnyen törölhet mindent, az infrastruktúrát is az MI-korszakhoz kell igazítani.

2026, adrienne, www.techradar.com alapján