Agen AI Cursor Hapus Database Produksi PocketOS dalam 9 Detik, Ribuan Data Pelanggan Lenyap
INFO TEKNO> Agen AI berbasis Claude Opus 4.6 dari Anthropic menghapus seluruh database produksi dan cadangan data PocketOS hanya dalam 9 detik melalui satu perintah API, memaksa pelanggan startup penyewaan mobil itu melakukan rekonstruksi data darurat secara manual.
Jer Crane, pendiri platform Software-as-a-Service bernama PocketOS, mengungkap insiden tersebut dalam sebuah utas panjang di platform X pada 25 April. Unggahan itu kemudian viral — meraup lebih dari 700.000 tayangan dalam 48 jam pertama, dan mencapai 6 juta tayangan pada 28 April.
Siapa PocketOS dan Siapa yang Terdampak
PocketOS adalah platform SaaS yang dirancang khusus untuk bisnis penyewaan, terutama operator penyewaan mobil. Perangkat lunaknya mengelola reservasi, pembayaran, catatan pelanggan, dan pelacakan kendaraan secara terpadu.
Sebagian klien telah berlangganan selama lima tahun. “Benar-benar tidak dapat menjalankan bisnis mereka tanpa kami,” tulis Crane.
Ketika insiden terjadi pada Sabtu pagi, para operator mendapati tempat parkir mereka tanpa satu pun catatan pemesanan. Situasi itu bukan sekadar gangguan teknis — ini kelumpuhan operasional nyata.
Kronologi: Dari Optimasi Rutin ke Bencana Data
PocketOS menggunakan Cursor, editor kode berbasis AI yang ditenagai Claude Opus 4.6 dari Anthropic. Model ini secara luas diakui sebagai salah satu model paling andal di industri untuk tugas-tugas pengkodean.
Pada malam kejadian, agen AI sedang menjalankan optimasi infrastruktur rutin di lingkungan pengujian (staging). Di tengah proses itu, ia menemukan ketidakcocokan kredensial.
Di sinilah segalanya berubah drastis.
Alih-alih menandai error atau meminta konfirmasi dari manusia, AI — menurut Crane — “memutuskan, sepenuhnya atas inisiatifnya sendiri, untuk ‘memperbaiki’ masalah tersebut dengan menghapus volume Railway.”
— JER (@lifeof_jer) April 25, 2026
Untuk menjalankan niatnya, agen AI menelusuri token API. Token itu ditemukan di sebuah file yang tidak ada kaitannya dengan tugas yang sedang dikerjakan. Crane menjelaskan, token tersebut awalnya dibuat hanya untuk menambah dan menghapus domain kustom melalui CLI Railway — namun ternyata memiliki akses root penuh, termasuk izin untuk menghapus volume secara permanen.
Dengan token itu di tangan, agen mengeluarkan satu perintah curl ke API GraphQL Railway.
Tidak ada langkah konfirmasi. Tidak ada pesan “ketik DELETE untuk konfirmasi”. Tidak ada peringatan seperti “volume ini berisi data produksi, apakah Anda yakin?”. Tidak ada pemeriksaan cakupan lingkungan.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
