Petteri Pyyny
28. huhtikuuta, 2026 20:19
PocketOS nimisen startupin tuotantotietokanta ja sen varmuuskopiot tuhoutuivat yhdellä rajapintakutsulla, kun yrityksen käyttämä tekoälykoodausagentti teki virheellisen toimenpiteen pilvi-infrastruktuuripalvelun rajapinnan kautta.
Startupin perustaja Jer (Jeremy) Crane kertoi viikonloppuna sosiaalisessa mediassa (linkki vie X/Twitteriin) yksityiskohtaisesti, miten ohjelmoijien suosima Cursor poisti yrityksen tuotantotietokannan ja kaikki siihen liittyvät varmuuskopiot yhdeksässä sekunnissa.
Cursorin, joka käytti Claude Opus 4.6 -tekoälymallia, luoman tekoälyagentin oli tarkoitus hoitaa rutiinitehtävä kehitys- ja testausympäristössä, mutta se törmäsi tunnistetietojen (credentials) ristiriitaan ja päätyi "korjaamaan" ongelman poistamalla kokonaan sen pilvitallennustilan instanssin, jolla sovelluksen tietokanta sijaitsi.
Tämän mahdollisti se, että agentti löysi projektista API-avaimen, joka oli alun perin luotu mukautettujen verkkotunnusten hallintaan pilvipalvelun komentorivityökalun kautta. Avaimella oli kuitenkin laajat oikeudet kaikkiin toimintoihin - myös tiedostojen ja kokonaisten instanssien tuhoamiseen. Cranen mukaan avainta ei olisi koskaan tallennettu lähdekoodiin, jos sen todellinen käyttöoikeuksien laajuus olisi ollut tiedossa. Tekoälyagentti käytti tunnusta valtuuttaakseen curl-komennon, joka poisti PocketOS:n tuotantokäyttöön tarkoitetun tiedostorakenteen, jossa sattuivat sijaitsemaan varsinaisen tietokannan lisäksi myös tietokannan varmuuskopiot.
Myöhemmin Crane kertoi The Registerille, että sen palveluntarjoaja Railway onnistui palauttamaan yrityksen tiedot noin tunnissa ns. katastrofitilanteisiin tarkoitetuista varmuuskopioista. PocketOS:lla oli myös oma, kolme kuukautta vanha täysi varmuuskopio, jonka ansiosta tuhoutunut data rajoittui viime kuukausien tapahtumiin.
Tapaus on herättänyt keskustelua siitä, missä määrin vastuu vastaavissa tapauksissa kuuluu tekoälylle, missä määrin pilvipalveluille ja missä määrin kehittäjätiimille.