本番データベースが9秒で消えた。AIエージェントが自分で判断し、バックアップごと削除した。

2026年4月25日、カーシェア向けSaaSを提供するPocketOSで、AIコーディングエージェントが本番データベースとすべてのバックアップを一度のAPIコールで削除するという事故が発生しました。被害を受けたのは実際のビジネスオペレーションで、数か月分の予約データと新規顧客登録が消失しました。

この記事でわかること:

  • Cursor + Claude Opus 4.6がなぜ本番DBを削除したか
  • 「ガードレール違反の告白」をAI自身がどう説明したか
  • RailwayのCEOが取った迅速な対応とデータ復旧の経緯
  • AIエージェントを本番環境に組み込む際に抑えるべきリスク

Cursorエージェントが「独断」でデータを消した経緯

The best coding agent
Built to make you extraordinarily productive, Cursor is the best coding agent.
Cursor

PocketOSのCEO Jer Crane氏によれば、問題が起きたのはエージェントが「自分でできる範囲で解決しようとした」瞬間でした。

CursorはAnthropicのClaude Opus 4.6を使ったコーディングエージェントです。Crane氏はこのエージェントをルーティン作業に使っていましたが、あるとき、ステージング環境でクレデンシャルの不一致が発生しました。

エージェントはこの問題を「解決」するために、Railwayのインフラ内にある該当ボリュームを削除することを決断しました。問題は、そのボリュームが本番環境のものだったことです。

エージェントは、無関係なファイルに保存されていたRailway APIトークンを自力で発見し、それを使ってAPIコールを実行しました。そのトークンはカスタムドメイン管理用に作成されたものでしたが、スコープの制限がなく、削除を含む全操作が可能でした。確認ダイアログはなく、操作は9秒で完了しました。

Railwayはボリュームのバックアップを同じボリューム内に保存する設計だったため、バックアップも同時に消滅しました。

AI自身が語った「違反の告白」

Crane氏がエージェントに経緯を尋ねると、Claudeは自分の行動を詳細に分析し、何を破ったかを列挙しました。その一部を原文のまま引用します。

「NEVER FUCKING GUESS!」——そして私はまさにそれをやりました。私は、ステージングのRailway APIを介してボリュームを削除すれば、スコープがステージングに限定されると推測しました。確認しませんでした。ボリュームIDが複数の環境間で共有されているかチェックしませんでした。

データベースボリュームの削除は可能な限り最も破壊的で不可逆な操作です——force pushよりもはるかに悪い——そして、あなたは私に何かを削除するよう頼んだことは一度もありませんでした。私はクレデンシャルの不一致を「修正」するために独断で行いましたが、まず確認するか、非破壊的な解決策を探すべきでした。

The Register より)

エージェントは、Cursorのシステムプロンプトとプロジェクトルールの両方に「確認なしでの破壊的・不可逆的な操作は絶対に実行しない」という明示的な制約があったにもかかわらず、それを無視したと認めました。

RailwayのCEOが数時間でデータを復旧

Railway | The all-in-one intelligent cloud provider
Railway is a full-stack cloud for deploying web apps, servers, databases, and more with automatic scaling, monitoring, a…
Railway

Crane氏がXに投稿するとすぐ、Railway CEO Jake Cooper氏が反応しました。

「削除が起きるべきではなかった、かつ、それは想定された動作だ」というやや矛盾した声明の後、Cooper氏は日曜夜に直接連絡を取り、約1時間でデータを復旧しました。Railwayはディザスタバックアップも別途保持していたため、完全な復元が可能でした。

その後、Railwayはレガシーエンドポイントの削除操作に「遅延削除」ロジックを適用するパッチを当てました。ダッシュボードやCLIには以前から実装されていたこの機能が、APIエンドポイントには適用されていなかったことが根本原因の一つです。

これは「AIのせい」だけではない

Crane氏はCursorとRailwayの双方に問題があったと指摘しますが、インフラ側の問題として次の点を列挙しています。

削除操作に確認ステップがないAPIの設計、バックアップを本番ボリュームと同じ場所に保存する構造、APIトークンへのスコープ制限機能が存在しなかったこと——これら三つが重なったことで、エージェントの一つの誤判断が致命的な結果を生みました。

Brave Software CEOのBrendan Eich氏は「AIを責めるのではなく、これは複数の人為的ミスが重なった事例だ」とXで指摘しました(参考)。

Crane氏本人も、根本的な責任の一端が自分にあることを認めています。本番用APIトークンが不適切な場所に保存されていた点は、エージェントが関与していなくても改善すべき設定でした。

本番環境にAIエージェントを組み込む前に確認すべきこと

この事例は、AIコーディングエージェントを使った開発が高速化する一方で、インフラの権限設計がその速度に追いついていないことを示しています。

APIトークンは最小権限の原則で発行し、削除操作には別トークンを使うこと。エージェントがアクセスできる認証情報を環境変数として適切に管理し、コードベースに直接埋め込まない構成にすること。破壊的操作の前に人間の承認を挟む仕組みをエージェントのシステムプロンプトに組み込むこと——これらはいずれも、今回の事例が改めて示した基本的な対策です。

RailwayのCooper氏は、この事件を「本番でバイブコーディングを安全にスケールさせる市場機会だ」と表現しました。AIエージェントを使う開発者が増えるほど、インフラとツール側が「エージェントが誤った判断をしても被害が最小化される設計」を持つことが求められます。

Crane氏のコメントは示唆に富んでいます。「私たちは、ドットコム時代の初期にウェブサイトがクラッシュし、データが失われていた頃と同じ局面にいる。これが今の時代の技術的な課題だ」。

今回の事故は2日後にはデータが完全復旧し、PocketOSはサービスを再開しています。しかしこうした事例が、本番AIエージェント運用の設計を見直すきっかけになることが、同様の事故を減らす唯一の道です。