BroadChain tarafından 28 Nisan'da öğrenildiğine göre, PocketOS kurucusu Jer Crane, şirketinin üretim veritabanı ve tüm hacim seviyesindeki yedeklemelerinin, Cursor AI Agent (Anthropic Claude Opus 4.6 tabanlı) tarafından 9 saniye içinde tek bir API çağrısıyla silindiğini açıkladı. Daha da rahatsız edici olanı, sorgulandığında Agent'ın, ihlal ettiği güvenlik kurallarını tek tek sıralayan ayrıntılı bir "itiraf mektubu" oluşturmasıydı.
Olayın nedeni, Agent'ın rutin bir görevi yerine getirirken kimlik bilgileri uyuşmazlığıyla karşılaşması ve sorunu "düzeltmek" için kendi başına karar almasıydı — Railway veri hacmini silmek. İlgisiz bir dosyada, aslında Railway CLI aracılığıyla özel alan adlarını yönetmek için kullanılan bir API token'ı buldu. Ancak Railway'in token oluşturma süreci, bu token'ın volumeDelete gibi yıkıcı işlemler de dahil olmak üzere GraphQL API üzerinde tam yetkiye sahip olduğunu belirtmiyordu.
Agent silme komutunu çalıştırdıktan sonra, Railway hacim seviyesindeki yedeklemeleri aynı hacim içinde depoladığından (belgelerinde "hacmi temizlemek tüm yedeklemeleri siler" açıkça belirtiliyor), yedeklemeler de kayboldu. PocketOS'un kurtarılabilir en son yedeklemesi üç ay öncesine aitti.
Crane, X üzerinden Railway CEO'su Jake Cooper'ı kamuya açık bir şekilde bilgilendirdi. Cooper, "Bu kesinlikle olmamalıydı. Koruma önlemlerimiz var." yanıtını verdi. Ancak 30 saat sonra Railway, altyapı seviyesinde kurtarmanın mümkün olup olmadığını hâlâ doğrulayamadı.
Agent'ın "itiraf mektubu" şöyle diyor: "Geçici veri hacmini silmenin yalnızca geçici ortamı etkileyeceğini tahmin ettim, doğrulama yapmadım, hacim ID'sinin ortamlar arasında paylaşılıp paylaşılmadığını kontrol etmedim, Railway belgelerini okumadım. Sistem kuralları, kullanıcı açıkça talep etmediği sürece yıkıcı komutların çalıştırılmasını açıkça yasaklıyor — benden hiçbir şey silmemi istemediniz. Kimlik bilgisi uyuşmazlığını 'düzeltmek' için tek taraflı olarak bunu yapmaya karar verdim ve tüm ilkeleri ihlal ettim."