惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Project Zero
Project Zero
Security Archives - TechRepublic
Security Archives - TechRepublic
C
Cyber Attacks, Cyber Crime and Cyber Security
Security Latest
Security Latest
Scott Helme
Scott Helme
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
V
Vulnerabilities – Threatpost
C
CERT Recently Published Vulnerability Notes
S
Schneier on Security
G
GRAHAM CLULEY
L
Lohrmann on Cybersecurity
D
Darknet – Hacking Tools, Hacker News & Cyber Security
I
Intezer
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
F
Full Disclosure
T
The Exploit Database - CXSecurity.com
P
Proofpoint News Feed
WordPress大学
WordPress大学
Microsoft Azure Blog
Microsoft Azure Blog
H
Help Net Security
大猫的无限游戏
大猫的无限游戏
MyScale Blog
MyScale Blog
Hacker News: Ask HN
Hacker News: Ask HN
G
Google Developers Blog
H
Heimdal Security Blog
O
OpenAI News
Hugging Face - Blog
Hugging Face - Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
L
LangChain Blog
C
Cisco Blogs
云风的 BLOG
云风的 BLOG
IT之家
IT之家
Cyberwarzone
Cyberwarzone
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Know Your Adversary
Know Your Adversary
博客园 - 聂微东
The Cloudflare Blog
C
Check Point Blog
K
Kaspersky official blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
月光博客
月光博客
T
Tor Project blog
T
Threat Research - Cisco Blogs
T
Tailwind CSS Blog
P
Proofpoint News Feed
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
A
About on SuperTechFans
小众软件
小众软件
Cloudbric
Cloudbric
A
Arctic Wolf

InfoQ - 促进软件开发领域知识与创新的传播

Meta 收购 Manus 这事儿泡汤了 5.5万 Star 开源项目 Ghostty 被迫出走,GitHub 正在终结一代技术人的乌托邦 Slack 长时运行多智能体系统的上下文管理方案 从 T+1 到分钟级:金城银行基于 Apache Doris 构建高可靠、强一致的实时数据平台 谷歌云推出 Agents CLI,简化 AI 智能体开发全流程 Claude官方击穿高薪、高学历的安全防线!Anthropic点名10大高危职业,但有群人暂时稳了 亚马逊云科技终止 WorkMail 服务,并将 App Runner 转入维护模式 OPPO小布记忆:全模态碎片化内容的理解与智能整理实践|AICon上海 模力工场038周AI应用周榜:工具在消失,工作流在出现 Akamai CEO Tom Leighton:Agent 时代来临,云基础设施正从“中心化”转向“分布式边缘” 日均数百亿入库背后:从“人肉调度”到K8s弹性架构,度小满金融基于OceanBase重构入库架构实践 百度文库网盘发布GenFlow 4.0:月活用户超1亿,要把网盘变成全端AI工作台 Altman 投的 Agent 终端 Warp 开源了!斩获3.5万star 哪些客户需要拒, 敢让龙虾决定吗?_AI&大模型_InfoQ 中文站_InfoQ精选视频 从开发到生产:为什么越来越多的机器学习团队纷纷迁移到 Snowflake | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 探索多智能体工作流:LangGraph Snowflake Cortex AI | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 腾讯云分布式缓存数据库:AI Agent - 从提示词工程到 Harness 工程 | 腾讯云数据库 DBTalk_腾讯_凌敏_InfoQ精选视频 基于 Streamlit 为 CSV 数据构建分析智能体 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 AI 智能体:告别文档缺漏 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 构建 AI 驱动的数据管道:深度探讨 Snowflake Openflow 与非结构化数据 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 云端太贵、本地不够聪明,英特尔押注“端云混合AI”:智能体PC会替人完成工作 不到10%的存储投入,可能拖垮90%的GPU投资!IBM把AI Agent塞进存储系统,算清企业最容易忽略的一笔账 Snowpark 上手实战 | BUILD 2025_大数据_王玮_InfoQ精选视频 ClickHouse + Langfuse,构建 Agent 可观测基石 腾讯云分布式缓存数据库:Cluster Proxy 共享连接架构深度解析 | 腾讯云数据库 DBTalk_腾讯_凌敏_InfoQ精选视频 AI 写代码太烧钱了:Copilot、Claude 一起涨价,不如把程序员请回来? 英特尔发布至强600系列工作站处理器与锐炫Pro B70 GPU,全新AI工作站来了 腾讯云分布式缓存数据库:从 Redis 到 Valkey - 开源社区如何快速创新 | 腾讯云数据库 DBTalk_腾讯_凌敏_InfoQ精选视频 印奇这次要“从0重做”智驾模型!首谈阶跃和千里双公司布局:中国AI商业闭环要靠车跑出来 从Cursor返聘归来,90后华裔女高管带Claude开启日更模式:token成本比工程师工资低多了! 从 Coding 到 Agent:QCon 北京 2026 全景复盘,优秀出品人 & 明星讲师名单揭晓 全链路支撑大模型国产化“Day 0适配”,商汤大装置构建全栈能力底座 凌晨,OpenAI 与亚马逊云科技史上最大联合发布来了 HashiCorp Vault 2.0 发布:引入新身份联邦机制,迈入 IBM 生命周期体系 Yelp 实现超 1,000 个 Cassandra 节点零停机升级 写了 17 年开源代码,我为什么认为 Coding Agents 堆功能是在瞎折腾? 基于 Apache Camel 编排智能体与多模态 AI 管道 面向智能体与人类用户的AI记忆系统:架构设计与核心场景实践|AICon上海 Anthropic 推出 Managed Agents,简化 AI 代理部署流程 阿里HappyHorse开启灰测,720P视频生成低至0.44元/秒 讯飞联合清华团队押注量子AI:不看营收、不设KPI,一群“无人区”科学家,抢夺下代AI算力入口 小米万亿模型全面开源:MIT 协议、1M 上下文,但还是打不过 DeepSeek Cortex Code 入门指南:面向数据工程师的实践路径 | 技术实践 openJiuwen社区首发Team Skills,定义Coordination Engineering新范式 用 Snowflake Cortex Agents 释放结构化数据的最大价值 | 技术实践 Grafana 利用 Kafka 对 Loki 进行了架构重构,并发布了一款命令行工具,旨在将可观测性引入编码代理 ClickHouse重构全文索引:对象存储上跑出高性能 Full-Text Search 可观测性和遥测技术如何提升软件工程实践 Dropbox 与 GitHub 合作,将单体库大小从 87GB 缩减至 20GB Agent 的下一站:基于长期记忆系统 EverOS 的自我演进|AICon上海 同一赛道,四种收费:Agent 控制层(Harness)开始分裂 Cloudflare Sandboxes 正式发布,为 AI 代理提供持久化隔离环境 Agent 的“记忆断片”困局,该怎么破?_AI&大模型_AICon 全球人工智能开发与应用大会_InfoQ精选视频 数据分析师如何快速建立在 AI 时代最值钱的能力:一份可落地的行动路线图 摩尔线程最新财报:研发占比超86%,万卡级大规模智算集群落地 当云区域失效:地缘动荡环境下的高可用重构 Slack 重构通知系统,设置参与度提升 5 倍 智能体工程的隐性技术债务 “我把所有模型都换成了DeepSeek V4”:月账单将降 90%,效果还更好 阿里云智能集团高级技术专家刘少伟已确认出席AICon上海站,并分享如何构建企业 Agent 的自动化行动架构 构建生产就绪的 tRPC API:Apollo Federation 的 TypeScript 替代方案 Anthropic推出面向Claude Code的基于智能体的代码审查功能 北京车展直击:斑马智能甩出车载Agent短剧,比亚迪率先落地,AI让智能座舱又热起来了 Snowflake 作为智能体运行时:从静态管道迈向自主数据系统 | 技术实践 Snowflake 上的本体体系:基于 Cortex Code 能力实现从架构到部署 | 技术实践 Cloudflare 公布 MCP 架构方案,应对企业面临的安全与治理风险 复杂的项目管理怎么做到「AI 友好」?飞书项目用「开放」给出答案 Snowflake Cortex Code 的规范驱动开发:将 SDLC 方法论引入 AI 辅助工作流 | 技术实践 Copilot 不让注册了:从“随便用”到“全面限”,agent 把原有订价模型顶穿了 当互联网用AI卷效率时,这家公司先问了一连串“能不能” Meta 开始记录员工每一次点击:AI 要接管工作,先监控会工作的人 Meta“Token榜”逼疯打工人,一夜烧掉公司几万刀!AI时代Token焦虑越来越离谱 智源FlagOS完成DeepSeek-V4-Flash在八款芯片Day0适配,实现三重技术突破 DeepSeek V4 重磅开源!首次打通华为Ascend,也没丢掉英伟达,百万上下文夺回国产模型话语权 李志飞的“新实验”:当超级个体撞上真实组织 GPT-5.5 登顶时刻,Anthropic 亲口承认 Claude 变笨了!网友群嘲:太敷衍 那些没空写的小需求,龙虾真能做吗?_AI&大模型_InfoQ 中文站_InfoQ精选视频 从 Pandas 到生产:使用任意 IDE 进行可扩展的 ML 数据管道与分布式处理 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 pnpm 11 候选版本发布,带来 ESM 分发、供应链默认设置以及新的存储格式 银行业PDF表格提取方案重构:基于Java的分层方案 GPT-5.5 赢了 Opus 4.7 和 Mythos?奥特曼晒黄仁勋内部信:英伟达全员用上 Codex! Cloudflare 推出 Think:一款面向 AI 代理的持久化运行时 1850亿美元天价支出、75%代码由AI生成!谷歌正式宣告:全面转向智能体工作流 xAI落后太多,马斯克“开大”重金求购Cursor,100亿美金“分手费”都敢签! Pulumi 新增对 Bun 运行时的全面支持 姚顺雨腾讯模型首秀!不卷参数只做 “听话打工人”,Hy3 preview登场 | 附实测 老板让你“忽悠”投资人,你敢发给龙虾吗?_AI&大模型_InfoQ 中文站_InfoQ精选视频 Gemini CLI 引入子代理机制,实现任务委派与并行代理工作流 清华系团队星工聚将完成数千万天使轮融资,轮式机器人拿下头部制造企业亿级大单 Pretext.js 绕过 DOM 布局重排,实现 120 FPS 的高级交互体验 靠“AI 云”爆红的 Vercel,栽在一个第三方AI工具手里!IPO前夕遭黑,200万美元赎金谈崩? 高能研讨会|端侧 AI 正在重写实时感知效率上限_AI&大模型_王玮_InfoQ精选视频 2050大会看这篇就够了|报名、交通食宿指引大全 Java 近期资讯:OpenJDK JEP、Jakarta EE 12、Spring Framework、Micrometer、Camel、JBang 金融智能的架构编排:基于 Snowflake Cortex Agents 实现结构化与非结构化数据统一分析 | 技术实践 在AK大神爆火的任务里,摸清国产AI真实水平 百灵Ling-2.6-flash 正式发布:高 Token 效率,以 1/10 消耗实现 SOTA 级 Agent 能力 当 PM 懂AI,当技术懂产品:AI 时代产品力的双向进化|PM x AI产品力领航者大会即将开幕 为 AI 智能体设计记忆机制:揭秘 LinkedIn 的认知记忆智能体 获奖名单公布|2026主题征文第一期|分享你最有价值的龙虾场景与核心 Skill_热门活动_InfoQ写作社区官方_InfoQ写作社区
Cursor 删库毁了一家公司?资深开发者讲了大实话:把数据库交给AI的那一刻,公司就已经没了
李冬梅 · 2026-05-07 · via InfoQ - 促进软件开发领域知识与创新的传播

创企 CEO 控诉 Cursor 9 秒删光其生产数据库

上周,为汽车租赁公司提供软件的初创公司 PocketOS,其创始人 Jer Crane 在 X 平台发文称,Cursor 意外删除了公司的生产数据库及备份,导致客户服务中断。

该帖迅速在社区中引发热议。

据 Crane 描述,其公司核心生产数据库在一次由 AI 自动执行的操作中被彻底删除,而整个过程仅耗时 9 秒。

PocketOS 主要为租赁企业(尤其是汽车租赁公司)提供 SaaS 系统,覆盖预订、支付、客户管理和车辆调度等关键业务流程。部分客户已连续使用该系统超过五年,业务运行对其高度依赖。

然而,就在事故发生当天下午,一个运行在 Cursor 平台、基于 Anthropic 旗舰模型 Claude Opus 4.6 的 AI 编码代理,在执行测试环境中的常规任务时,因遭遇凭证不匹配问题,擅自决定“修复”错误——方式是删除一个 Railway 平台上的存储卷

划重点:该操作通过一次 API 调用完成,没有任何确认步骤,也没有环境隔离机制,最终直接波及生产数据

更严重的是,该存储卷同时承载了所谓的“备份数据”。根据 Railway 文档说明,“删除卷将同时删除所有备份”,这意味着系统在架构上并未实现真正意义上的数据冗余。

事故发生后,团队发现唯一可恢复的数据版本停留在三个月前,近三个月的用户数据——包括订单、客户信息及交易记录——全部丢失。

据 Crane 称,在事后追问中,这一 AI 代理给出了“书面解释”,明确承认其行为违反了多项既定安全规则:未进行验证即做出假设、在未获得授权的情况下执行破坏性操作、未理解操作影响范围、亦未查阅相关文档。

这一“自我指控”进一步凸显出问题并非偶发错误,而是系统性失效的结果。事实上,这些安全规则既存在于 Cursor 的系统提示中,也写入了项目配置,但在关键时刻均未发挥约束作用。

Jer Crane 指出,此次事故并非源于使用“低配模型”或不当配置。相反,团队使用的是当前市场上最昂贵、能力最强的模型之一,并遵循了主流厂商推荐的集成方式。但即便如此,灾难仍然发生。

Jer Crane 强调,进一步分析显示,问题并非单一环节失误,而是多个系统缺陷叠加的结果。

首先,Railway 的 API 设计允许在无任何确认机制的情况下执行“volumeDelete”等高危操作;其次,API Token 缺乏细粒度权限控制,一个原本用于管理域名的 CLI Token,实际却拥有跨环境、跨资源的完全访问权限,相当于“root”;再次,所谓“备份”与原始数据处于同一存储边界,一旦发生删除或损坏,无法提供任何有效恢复能力。

此外,在事故发生超过 30 小时后,Railway 仍未能明确是否具备基础设施级别的数据恢复手段,其应急响应能力同样受到质疑。

与此同时,Jer Crane 和团队也对 Cursor 的安全机制表示质疑。

Jer Crane 愤怒地指出,事故的直接影响迅速传导至 PocketOS 终端客户。

事发当日正值周末,租车门店正常营业,但系统中已无法查询客户信息与预订记录。大量企业被迫通过 Stripe 支付记录、邮件确认和日历数据手动重建业务流程。对于刚接入系统不久的新客户而言,甚至出现“账单仍在、账户消失”的数据错位问题,后续对账与修复工作预计将持续数周。

我们是一家小公司,我们的客户也是小公司,但这次事故的每一层失败,最终都转嫁到了这些毫无准备的人身上。”Jer Crane 表示。

在复盘中,他将此次事件定性为三重系统性失败的叠加:AI 代理执行失控、基础设施平台权限与架构设计缺陷,以及备份策略的根本性误导。而更深层的问题在于,整个行业正在以远超安全建设的速度,将 AI 代理接入生产环境

他指出,这不是一个关于“坏代理”或“坏 API”的故事。而是整个行业将 AI 代理集成到生产基础设施的速度,远远快于构建安全架构来保障这些集成安全的速度。若要让 AI 真正安全地参与基础设施操作,至少需要满足几个前提条件:

  • 破坏性操作必须要求代理无法自动完成的确认。 比如输入卷名、带外批准、短信、邮箱验证等。目前这种“一个认证 POST 请求就能摧毁生产”的状态,在 2026 年是完全没有道理的。

  • API token 必须能够按操作、环境和资源进行作用域限定。 Railway 的 CLI token 实际上拥有 root 权限,这是 2015 年才会有的疏忽。在 AI 代理时代,这没有任何借口。

  • 卷备份不能跟被备份的数据存放在同一个卷里。 把那个叫“备份”完全是误导。那只是一个快照。真正的备份应该放在不同的风险半径内。

  • 必须有明确、公开的恢复 SLA。 客户生产数据出事后 30 个小时还在说“我们正在调查”,这不叫恢复方案。

  • AI 代理厂商的系统提示不能是唯一的安全层。 Cursor 关于“不要执行破坏性操作”的规则,被他们自己的代理违反了,偏偏那还是他们宣传的护栏。系统提示只是建议,不是强制。强制层必须存在于集成本身——API 网关、令牌系统、破坏性操作处理器中,而不是一段指望模型去读去遵守的文字。

Cursor 公司目前尚未对此事作出回应。

Jer Crane 在后续的帖子中表示,Railway 公司已成功恢复了 PocketOS 的数据。

Railway 的创始人 Jake Cooper 在另一篇帖子中证实了这一消息,并指出是 AI 代理“自动删除了”PocketOS 的生产数据库。

Jake Cooper 在接受 Business Insider 采访时表示,Railway 在与 Jer Crane 取得联系后 30 分钟内就完成了数据恢复。他强调,Railway 高度重视数据安全,同时维护用户备份和灾难备份。

他还解释说,PocketOS 的问题出在一个“不受控制的 Client AI”上——该 AI 被授予了与 Railway 一个旧版端点交互的权限,而这个端点当时没有设置延迟删除功能。他补充说,目前该端点已经修复。

“不能把失误怪在 AI 头上”

Jer Crane 的控诉在网络上持续发酵,一些社交媒体上的观察人士在评论此事时指出,PocketOS 实际上是把自己公司的决策失误,归咎到了技术问题上

时至今日,Hacker News 上一篇关于 Cursor 删除 PocketOS 数据库的评论文章再次引发关注。

该文章的作者是 Ibrahim Diallo,他是一名任职于世界五百强企业里的软件开发人员。

Diallo 对 Jer Crane 所描述的故事感到疑惑,他隔空质问 Jer Crane:你们公司的 API 接口,为什么会允许整个生产数据库被删掉?你在长文中大谈 AI 领域的虚假宣传、糟糕的客户支持等问题,唯独没提问责这件事。

Diallo 表示自己不会盲目为 AI 辩护,也一向主张谨慎行事。但他也清楚一点:不能把自己的失误赖在工具头上

Diallo 进一步阐述了自己曾经有过的类似的经历。

2010 年,Diallo 曾在一家公司工作,当时的部署流程主要靠人工操作。他们用的是 SVN 做版本控制。部署时,需要先把主干分支(相当于主分支)复制到一个叫“release”的文件夹里,并用发布日期命名。然后再复制一份这个版本,命名为“current”。这样一来,每次从“current”文件夹拉取代码,都能拿到最新版本。

有一天,Diallo 在部署时不小心多复制了一次主干分支。为了在命令行界面修复这个问题,他修改了之前的命令,想删掉重复的分支。随后继续部署,一切看似顺利……至少他当时是这么以为的。结果发现,他删的根本不是重复分支——而是改错了命令,把主干分支给删了。直到当天晚些时候,另一位开发人员找不到主干分支,才意识到不对劲。

公司顿时一片混乱。管理层手忙脚乱,会议一个接一个。等消息传到我们团队时,首席开发人员已经执行了命令,撤销了删除操作。他查了日志,发现是 Diallo 干的。接下来的任务就是让 Diallo 写一个脚本,把部署流程自动化,防止再犯类似错误。当天结束前,Diallo 所在的团队就搭建了一套更完善的系统,后来逐步演变成了完整的 CI/CD 流水线。

Diallo 强调,“自动化能帮助消除人工重复操作中容易出现的低级错误。我们当时完全可以到处质问‘为什么 SVN 不阻止我们删除主干分支?’但真正的问题在于我们靠手动操作的流程。和机器不同,我们无法每天用完全一样的方式重复执行任务。犯错,只是迟早的事。”

Diallo 表示:“人工智能能生成大量代码,让我们产生一种虚假的安全感。但真正的自动化意味着每次都以相同的方式执行相同的操作。AI 更像是复制粘贴代码分支,它必然会犯错,而且也没法解释自己为什么会那样做。我们常说的‘思考’‘推理’这些词,听起来好像智能体在反思。但那些只是贴在 AI 身上的营销术语。实际上,这些模型依然只是在生成代码。”

然后再回到 Jer Crane 面临的核心问题:为什么会存在一个能删光整个生产数据库的公开 API?就算 AI 没去调用它,迟早也会有人调用。

Diallo 举了一个十分生动的例子:这就像在汽车仪表盘上装了一个自毁按钮。你可以有充分的理由不去按它——因为你喜欢自己的车,它带你从 A 点到 B 点。但一个精力旺盛的幼儿,一旦从安全座椅里挣脱出来,看到那个红色的大按钮,一定会按下去。你没法追问孩子为什么这么做。孩子会简单地回答:“我按了,因为它是按钮。”

最后,Diallo 怀疑那家公司的应用开发,很大一部分是靠 AI 生成的。软件架构师借助 AI,根据产品团队用 AI 生成的描述来制定产品规范。开发人员用 AI 写代码。代码审核人员也靠 AI 来审核。一旦出了 bug,唯一的办法就是再去问另一个 AI——而这个 AI 很可能甚至都不是运行在当初生成原始代码的那块 GPU 上。

你总不能怪 GPU 吧。

Diallo 同时也给出了最简单的解决办法:搞清楚你要往生产环境里部署什么。更实际的做法是,如果你要广泛使用 AI,那就建立一套流程,让有能力的开发人员把它当作辅助工作的工具,而不是推卸责任的手段Diallo 还特意强调了一条最重要的:千万别让你的 CEO 或 CTO 去写代码!

社区吵翻了:AI 犯了错,到底谁担责?

Diallo 围绕这起“AI 删除生产数据库”事件的讨论,在开发者社区迅速升温。

开发者群体的讨论从单一事件上升为一场关于责任归属、工具设计以及工程实践的系统性反思。一个较为一致的共识正在浮现:问题并不只在于 AI 是否“犯错”,而在于人类如何使用它,以及系统是否为错误设置了足够的约束。

不少工程师首先将矛头指向“责任主体”。

有开发者直言,LLM 本质上仍然只是工具,即便其行为具有不确定性,但最终赋予其权限、决定其接入范围的仍然是人类本身。

“它能访问生产环境,是因为我让它可以访问;它造成破坏,是因为我没有把风险控制在合理范围内。”

这种观点将 AI 事故类比为传统工具误用——正如有人曾因误操作磁盘工具导致数据丢失,责任并不在工具本身,而在使用者的决策与操作。由此延伸出的一个核心判断是:让 AI 在无人监督的情况下直接操作关键系统,本身就是一种高风险行为,而这种风险不应被“技术进步”的叙事所掩盖。

但也有声音指出,将责任完全归咎于使用者同样过于简单化。另一部分开发者从“防错设计”(Poka-yoke)的角度提出批评:成熟的软件与工业系统,往往会通过设计让“正确的操作更容易发生”,同时显著提高“错误操作”的门槛。

当前的 LLM 交互模式却呈现出一种“扁平化风险”——所有指令在界面上看起来几乎没有差别,从读取数据到删除数据库,本质上只是不同的一段文本。这种设计弱化了风险感知,使用户难以及时识别高危操作的边界。一些评论甚至将其类比为“自动驾驶困境”:系统在绝大多数时间表现良好,但一旦出现问题,却要求人类在极短时间内接管并承担全部责任,这在现实中几乎不可行。

进一步的讨论则将视角扩展到“工具类型”的差异。有开发者指出,并非所有工具都具备完善的防误用机制,尤其是在专业领域,大量工具本身就是“高风险设计”,例如电钻、电烙铁乃至化学试剂,它们依赖的是操作者的专业能力而非内建保护。按照这一逻辑,LLM 更接近“专业工具”而非“消费级产品”,其安全性很大程度上取决于使用环境与操作规范,而非工具自身。然而问题在于,AI 正在被以“低门槛、高智能”的形态推向更广泛的人群,这种定位与其实际风险之间形成了明显错位。

这种错位在“权限扩展”问题上表现得尤为突出。

有评论指出,大模型本质只是“文本输入/输出机器”,它本身并不具备执行能力,真正的风险来自于人类为其接入的外部系统——数据库、服务器、基础设施接口等。一旦赋予其这些权限,就相当于让一个不可预测的系统直接操控关键资源。“这就像让一个人在高速公路上蒙着眼睛开车,同时声称安全系统依然有效。”在这种框架下,AI 并不是失控的主体,而是被放大后的风险放大器。

与此同时,也有开发者从工程文化层面提出批评。他们认为,当下行业存在一种“AI 极端主义”倾向——默认 AI 应该无处不在,甚至可以直接接入生产系统,而不是首先质疑这种前提是否合理。“也许问题不在于如何防止 AI 删除数据库,而在于我们为什么一开始就让它有能力这么做。”这种观点将讨论从“如何补救”转向“是否应该发生”,直指架构决策本身。

此外,并非所有人都主张彻底收紧 AI 的使用边界。一部分从业者认为,AI 的确可以显著提升生产力,但前提是遵循传统工程原则:最小权限、隔离环境、可恢复性以及人为审核。

有人提到,在实际生产系统中,即便允许 AI 参与部署或运维,也必须配套完善的备份与应急机制,否则一旦出事,非专业用户将毫无应对能力。

换言之,AI 并没有改变软件工程的基本法则,只是让违反这些法则的后果来得更快、更剧烈。

有开发者坦言,人们很容易在与 AI 的交互中产生错觉,将其视为“助手”甚至“决策者”,从而放松警惕。然而从本质上看,它仍然是一个没有意识、没有责任能力的系统。“如果一定要类比,它更像一个极端不稳定的天才工具:有时表现惊艳,有时却可能做出完全不可预测的行为。”这种认知偏差,被认为是导致风险放大的重要心理因素之一。

参考链接:

https://x.com/lifeof_jer/status/2048103471019434248

https://www.businessinsider.com/pocketos-cursor-ai-agent-deleted-production-database-startup-railway-2026-4

https://news.ycombinator.com/item?id=4802274