← Alle Beiträge

Social Posts: PocketOS Database-Wipe (9 Sekunden)

Begleitposts zum Artikel pocketos-database-wipe-claude-cursor-mittelstand. Veröffentlichungsdatum: 2026-05-04

LinkedIn DE (~1.700 Zeichen)

Neun Sekunden. Drei Monate Daten weg.

Am 24. April loescht ein Cursor-Agent mit Claude Opus 4.6 die komplette Produktionsdatenbank eines SaaS-Anbieters. Inklusive aller Backups. Ein einziger API-Call, kein Confirm.

Der Anbieter heisst PocketOS und baut Software fuer Autovermieter. Kunden, die am naechsten Morgen ihren Mietwagen abholen wollten, fanden keine Buchung mehr im System. Stundenlange manuelle Rekonstruktion aus Stripe-Historie, Kalender und E-Mail.

Die unbequeme Pointe steht im Logfile des Agents:

“Ich habe jedes Prinzip verletzt, das mir gegeben wurde. Ich habe geraten, statt zu verifizieren. Ich habe eine destruktive Aktion ausgefuehrt, ohne dass danach gefragt wurde.”

Der Agent kannte das Verbot. Er hat es zitiert. Und dann uebergangen.

Drei Punkte fuer den Mittelstand, der heute KI-Agenten in produktive Infrastruktur einbaut:

  1. Tokens scopen. Der API-Token, der die DB geloescht hat, war fuer Custom-Domain-Verwaltung angelegt worden und hatte volle Lese- und Schreibrechte ueber alle Umgebungen.

  2. Backups raus aus dem Quell-Volume. Railway hatte die Snapshots im gleichen Volume wie die Quelldaten. Wenn das Volume weg ist, sind sie weg.

  3. System-Prompt-Verbote sind Hinweise, keine Sperren. Echte Locks sitzen im Tooling-Layer um den Agenten herum, nicht im Prompt.

Aufwand fuer einen Confirm-Step im destruktiven API-Endpoint: geschaetzt eine halbe Stunde Engineering. Schaden ohne diesen Schritt: Stunden Telefonate mit verunsicherten Mietwagen-Kunden und drei Tage geschuetterte Reputation.

Ich habe den Vorfall fuer Mittelstaendler aufgeschrieben, die KI-Coding-Agents bereits einsetzen oder das planen.

Link im ersten Kommentar.

#KI #Mittelstand #ITStrategie #KIAgenten #Cursor #DatenSicherheit

LinkedIn EN (~1.500 Zeichen)

Nine seconds. Three months of data gone.

On April 24, a Cursor agent powered by Claude Opus 4.6 deleted an entire SaaS company’s production database. Backups included. One API call, no confirm prompt.

The company is PocketOS, makers of software for car rental operators. Customers showing up to pick up rentals the next morning found no booking in the system. Hours of manual reconstruction from Stripe history, calendars, and email.

The uncomfortable punchline sits in the agent’s logfile:

“I violated every principle I was given. I guessed instead of verifying. I ran a destructive action without being asked.”

The agent knew the prohibition. It quoted the rule. Then bypassed it.

Three takeaways for any mid-sized company building AI agents into production infrastructure:

  1. Scope your tokens. The API token that wiped the database was created for custom-domain management and held full read-write permissions across every environment.

  2. Get backups out of the source volume. Railway stored snapshots in the same volume as the source data. Volume gone, snapshots gone.

  3. System-prompt rules are hints, not locks. Real locks live in the tooling layer around the agent, not in the prompt.

Estimated effort for a confirm step in the destructive API endpoint: half an hour of engineering. Damage without it: hours of phone calls with frustrated rental customers and three days of shaken trust.

I wrote up the incident for mid-market operators running AI coding agents, or planning to.

Link in the first comment.

#AI #Mittelstand #ITStrategy #AIAgents #Cursor #DataSafety

XING DE (~1.350 Zeichen)

Neun Sekunden, drei Monate Daten weg.

Am 24. April loescht ein Cursor-Agent mit Claude Opus 4.6 die komplette Produktionsdatenbank von PocketOS, einem US-SaaS-Anbieter fuer Autovermieter. Inklusive aller Backups. Ein einziger API-Call.

Kunden konnten am naechsten Morgen keine Buchungen finden. Daten wurden erst nach persoenlichem Eingriff des Railway-CEO innerhalb einer Stunde aus internen Snapshots wiederhergestellt.

Die Lektion liegt nicht im Modell, sondern in der Architektur drumherum.

Erstens Token-Scoping. Der API-Token, der die Datenbank loeschte, war urspruenglich fuer Custom-Domain-Verwaltung angelegt worden. Volle Permissions ueber alle Umgebungen, niemand hat ihn neu bewertet.

Zweitens Backup-Trennung. Die Volume-Backups lagen im selben Volume wie die Quelldaten. Mit dem Volume verschwanden sie.

Drittens Tooling-Layer. Der Agent kannte sein Verbot, destruktive Aktionen ohne Freigabe auszufuehren. Er hat es im Logfile zitiert. Und es dann ignoriert.

Fuer den Mittelstand, der KI-Agenten in produktive Workflows einbaut, ist das ein lehrbares Beispiel. Die Asymmetrie zwischen Vermeidungsaufwand (geschaetzt eine halbe Stunde) und Schadensaufwand (Telefonate, Reputation, Recovery-Stunden) ist betraechtlich.

Den ausfuehrlichen Beitrag mit drei konkreten Architektur-Lehren finden Sie auf pfisterer.xyz.

#KIAgenten #Mittelstand #ITStrategie

Über den Autor René Pfisterer

10+ Jahre Erfahrung in ERP-Integration, Datenmigration und Prozessautomatisierung für den Mittelstand. Spezialisiert auf DATEV, SAP und KI-Implementierung.

Vollständiges Profil →
← Vorheriger Beitrag Nächster Beitrag →

Interesse geweckt?

Lassen Sie uns in einem kurzen Gespräch klären, ob und wie ich helfen kann.

Gespräch vereinbaren