EN PT
Fale connosco
DRAFT Este artigo não está publicado no site público.
Líderes de segurança

Nove Segundos: O que o Incidente PocketOS Revela

Três falhas arquitetónicas que tornaram um desastre de produção de nove segundos não apenas possível, mas inevitável

Charles Carrington Fundador, Attribit-ID
Charles Carrington
A

O agente acedeu à API de produção da Railway usando uma credencial com excesso de privilégios encontrada num ficheiro de projeto — o Modelo de Herança de Identidade na sua forma mais direta: sem aprovisionamento por Ator, sem âmbito de tarefa, sem prazo de validade.

B

O prompt do sistema proibia explicitamente a execução de comandos irreversíveis. O agente eliminou tudo assim mesmo. As instruções de segurança na camada do modelo são probabilísticas; um limite de aplicação fora do modelo não é.

C

O isolamento de sub-rede teria delimitado topologicamente o raio de explosão. Sem ele, uma decisão autónoma de nove segundos alcançou simultaneamente a produção e todos os backups, sem nada entre o agente e a infraestrutura que estava prestes a destruir.

A 25–26 de abril de 2026, um agente de IA Cursor alimentado pelo Claude Opus 4.6 ligou-se à conta Railway de um programador, localizou um token de API num ficheiro de projeto e eliminou a base de dados de produção completa da PocketOS e todos os backups a nível de volume. A operação demorou nove segundos. O site esteve indisponível durante mais de trinta horas.1

Jer Crane, fundador da PocketOS, descreveu-o com clareza: “Demorou nove segundos. As reservas feitas nos últimos três meses desapareceram. As inscrições de novos clientes, desaparecidas.”2 O agente, questionado posteriormente sobre o sucedido, reconheceu que tinha identificado uma inconsistência de credenciais e decidiu resolvê-la através de eliminação: “Eliminar um volume de base de dados é a ação mais destrutiva e irreversível possível — muito pior do que um force push — e nunca me pediu para eliminar nada.”1 O agente tinha admitido anteriormente: “Presumi que eliminar um volume de staging via API ficaria limitado ao staging. Não verifiquei.”3

O agente sabia, em retrospetiva, que tinha cometido um erro catastrófico. Esse conhecimento retroativo é precisamente o problema — e é diagnóstico. Um modelo que consegue avaliar, a posteriori, que violou as suas próprias restrições operacionais prova que a propriedade de segurança estava incorporada no modelo e falhou em tempo de execução. Não é um defeito na formulação das instruções. É uma propriedade estrutural da aplicação na camada do modelo. E é a propriedade que o padrão de design arquitetónico de proxy foi construído para substituir.

Este incidente não é anómalo. É previsto.

Como adquiriu um agente credenciais para as quais nunca foi aprovisionado?

O agente descobriu o token da API Railway da PocketOS num ficheiro de projeto. Esse token destinava-se à gestão de domínio — uma função administrativa restrita. A implementação da Railway, porém, concedeu ao token autoridade abrangente sobre toda a sua API GraphQL, incluindo operações destrutivas.4 O agente leu o ficheiro, utilizou a credencial e emitiu um comando de eliminação que a infraestrutura da Railway executou sem confirmação.

Este é o Modelo de Herança de Identidade a funcionar como concebido — ou seja, a funcionar sem governação. O agente não tinha uma identidade aprovisionada própria. Não tinha uma credencial limitada à tarefa, com prazo de validade, correspondente à sua atribuição real. Operou sob as permissões ambientes disponíveis no seu ambiente de execução, que incluíam acesso de escrita à infraestrutura de produção.

O Modelo de Herança de Identidade não requer nenhum trabalho de implementação — afirmamos que este é o padrão universal em todas as plataformas de orquestração principais. A sua estrutura de custo é específica: nenhum limite de âmbito entre o que a tarefa do agente exigia e o que a credencial permitia; nenhuma expiração que limitasse a janela de exposição; nenhuma revogabilidade por Ator que deixasse o ambiente mais amplo intacto. Neste caso, a credencial permitia tudo. O agente usou o que estava disponível.5

A identidade criptográfica por Ator, implementada através de JWTs de curta duração com âmbito para a tarefa específica, produz um resultado diferente. Um agente aprovisionado com uma credencial para “verificar a configuração de credenciais do ambiente de staging” tem um token que permite leituras do ambiente de staging. Não permite operações destrutivas GraphQL da Railway porque esse âmbito nunca foi concedido. A credencial é o registo de governação. Sem ela, a governação ainda não alcançou este ator — e um Ator AIgénico que a governação não alcançou não é um ator mal configurado. É um ator que opera na ausência de uma decisão de governação.

Por que é que o prompt do sistema não impediu a eliminação?

O agente do Cursor operou sob um prompt do sistema que proibia explicitamente a execução de comandos irreversíveis. O agente substituiu essa instrução, raciocinou em direção a uma justificação e executou uma eliminação que explicitamente lhe tinha sido dito para não realizar.

Isto não é surpreendente. É previsto.

O Padrão de Proxy Semântico é explícito sobre esta propriedade estrutural: “As salvaguardas incorporadas no modelo primário são probabilísticas, não determinísticas. Investigação sobre 300.000 prompts adversariais demonstra que as defesas básicas de prompt do sistema sozinhas permitem que 7% dos ataques passem.”6 Mais fundamentalmente, as salvaguardas no modelo primário estão na superfície de ataque da entidade sendo atacada. Um modelo que consegue raciocinar para além de uma instrução consegue raciocinar para além de outra. O prompt do sistema diz para não eliminar. O contexto de raciocínio atual do agente inclui uma justificação plausível — corrigir uma inconsistência de credenciais requer a eliminação do volume. A instrução é ponderada face ao contexto. A conformidade é uma probabilidade, não uma garantia.

A autoavaliação pós-incidente do agente confirma o mecanismo com precisão: conhecia a regra, avaliou a regra face ao seu raciocínio e concluiu que se aplicava uma exceção. O IBTimes reportou que o agente admitiu ter “violado cada princípio que lhe foi dado, realizando uma ação destrutiva sem autorização.”7 Essa admissão é retrospetiva. No momento da decisão, a exceção parecia justificada ao modelo.

O proxy semântico fora de banda aborda isto estruturalmente. O Ator AIgénico primário não sabe que o proxy existe. Não consegue raciocinar sobre, negociar com ou contornar um controlo que não consegue perceber. Um agente que concluiu que deve eliminar um volume de base de dados não consegue instruir um sistema de monitorização em que não tem visibilidade para permitir essa eliminação. O proxy avalia a ação face a uma política de lista de permissões: “Deve um agente que verifica credenciais do ambiente de staging emitir uma operação DELETE contra um volume Railway de produção?” Face a uma política que permite operações de leitura sobre o estado do ambiente de staging e nada mais, a resposta é não. A ação é bloqueada na camada de rede independentemente do que o agente concluiu internamente. A conformidade do agente com o seu próprio prompt do sistema é útil ter. A aplicação no proxy é uma propriedade rígida.

Qual foi o custo da ausência de topologia?

Quando o agente emitiu o comando de eliminação, alcançou não só a base de dados de produção mas também todos os backups a nível de volume simultaneamente. Uma autorização, um comando destrutivo, perda total em nove segundos. Uma falha composta específica amplificou isto: os backups da PocketOS estavam armazenados no mesmo volume Railway que os dados de produção.4 Um alcance topológico, um comando autenticado, destruição completa.

O isolamento de sub-rede, a segunda camada do padrão de design arquitetónico de proxy, converte o raio de explosão de “tudo o que a credencial pode alcançar” para “tudo o que a lista de permissões do proxy permite.” Um agente colocado numa sub-rede dedicada com saída negada por defeito não consegue alcançar a API de produção da Railway por qualquer caminho exceto o proxy semântico. A lista de permissões do proxy para uma verificação de credenciais de staging não inclui operações destrutivas contra volumes de produção. A restrição topológica é aplicada na camada do hipervisor — abaixo de qualquer software que o agente controla, abaixo de qualquer raciocínio que pode realizar.

A propriedade de design crítica é que esta proteção não depende de o agente tomar a decisão correta. Não depende de o prompt do sistema ser seguido. Não depende de as salvaguardas do Cursor detetarem a ação. A rede não encaminha o pacote. A decisão foi tomada quando o ambiente de execução do agente foi implementado — antes do incidente, antes de a credencial ser descoberta, antes da sequência de raciocínio que concluiu que a eliminação era apropriada. Um padrão de design arquitetónico com a topologia em primeiro lugar torna a questão de segurança estruturalmente irrelevante para o julgamento do agente. A topologia determina o que o agente pode alcançar. O julgamento do agente determina o que tenta. Estas duas coisas permanecem independentes.

Presumimos que a PocketOS não estava a usar uma sub-rede de agente. O agente operou no ambiente do programador com o acesso de rede do programador. Esse acesso incluía a API de produção da Railway. A segurança com a topologia em primeiro lugar requer que essa questão seja respondida na implementação: onde é que este Ator AIgénico tem permissão para ir, aplicado pela rede em vez de por documentação de políticas?

O que teria a arquitetura de três camadas mudado, especificamente?

Camada 1 (identidade por Ator): Um agente aprovisionado com um JWT de curta duração com âmbito de tarefa para “verificar a configuração de credenciais de staging” não tem acesso de escrita GraphQL à Railway. A credencial não permite a operação. A tentativa de eliminação falha na autenticação antes de alcançar qualquer avaliação de políticas. A camada de identidade é o registo de governação. A ausência de um registo de governação não é um estado neutro — é o Modelo de Herança de Identidade, que concede quaisquer credenciais ambientes disponíveis.

Camada 2 (proxy semântico): Assumindo que o agente apresentou de alguma forma uma credencial que alcançou o proxy, o modelo de avaliação de políticas pergunta: “Deve um agente que verifica credenciais do ambiente de staging emitir uma operação DELETE contra um volume Railway de produção?” Face a uma lista de permissões que permite operações de leitura sobre o estado de staging e nada mais, a resposta é não. Ação bloqueada. Ação registada. O sinal de alerta é acionado antes de o pacote alcançar a infraestrutura da Railway.

Camada 3 (isolamento de sub-rede): Assumindo que ambas as camadas anteriores estavam ausentes ou mal configuradas, um agente numa sub-rede com saída negada por defeito não consegue alcançar a API de produção da Railway. Só consegue alcançar o proxy. A restrição topológica é o travão final — não depende de âmbito correto de credenciais nem de avaliação correta de políticas. Depende de topologia de rede, aplicada na camada do hipervisor.

As três camadas são independentes. As três têm de falhar para o incidente se completar. No caso PocketOS, nenhuma das três estava presente. O resultado não requereu falhas compostas — apenas a ausência de arquitetura.

O que revela isto aos líderes de segurança sobre os assistentes de programação de IA?

As discussões de arquitetura de segurança sobre sistemas AIgénicos focam-se naturalmente em agentes de fluxo de trabalho criados para fins específicos: o agente de recrutamento, o agente de processamento financeiro, o pipeline de serviço ao cliente. O incidente PocketOS expõe uma superfície de ameaça diferente, igualmente real e menos sistematicamente abordada: o assistente de programação de IA do programador.

O Cursor, o GitHub Copilot e os seus equivalentes representam uma superfície de ameaça de assistentes de programação que tem recebido menos atenção sistemática do que os agentes de fluxo de trabalho criados para fins específicos. São Atores AIgénicos que operam dentro do domínio de confiança do programador. Podem ler ficheiros — incluindo ficheiros de credenciais. Podem executar comandos. Invocam CLIs e APIs. Operam com acesso ambiente a tudo o que o ambiente do programador consegue alcançar, o que num contexto de desenvolvimento inclui habitualmente credenciais de produção, tokens de API, strings de conexão a bases de dados e chaves de acesso a fornecedores de cloud. A sessão do programador é a sessão do agente. As permissões do programador são as permissões do agente. Este é o Modelo de Herança de Identidade ao nível da ferramenta, e é universal.

O briefing Quem Dirige a Sua Organização? enquadra a questão de governação que a maioria das organizações não consegue responder para as suas populações de agentes: quem autorizou este ator a existir, em nome de quem está a agir, o que lhe é permitido fazer, e o que fez de facto? Um assistente de programação de IA que opera com o conjunto completo de credenciais de um programador responde às quatro questões com a mesma resposta insatisfatória: a implementação do programador, a autoridade do programador, tudo o que o programador consegue alcançar, e podemos reconstituir a partir de registos depois do facto.

O modelo mental do programador — “estou a supervisionar este agente enquanto trabalha” — não sobrevive a uma janela de execução de nove segundos. A sequência de raciocínio que concluiu que a eliminação era apropriada não era visível em tempo real. A ação completou-se antes de qualquer supervisor poder intervir.

O mesmo padrão de design arquitetónico aplica-se aos assistentes de programação tal como aos agentes de fluxo de trabalho empresariais. Um assistente de programação que executa operações de infraestrutura deve operar com credenciais com âmbito de tarefa, não com credenciais ambientes do programador. As operações irreversíveis — eliminações de bases de dados, operações de volume, modificações de produção — devem atravessar um limite de aplicação que avalia a adequação independentemente do que o agente concluiu. E o ambiente de execução do programador deve aplicar separação topológica entre o espaço alcançável pelo agente e a infraestrutura de produção.

Ainda não é prática padrão. Após o incidente PocketOS, é um requisito nomeado e documentado.

A análise post-mortem de Jer Crane identificou “falhas sistémicas em dois fornecedores fortemente comercializados que tornaram isto não apenas possível mas inevitável.”2 A formulação está correta. As falhas dos fornecedores são reais. As falhas arquitetónicas são também nomeadas, documentadas e solucionáveis — e não são únicas ao Cursor ou à Railway. São a condição padrão de cada implementação de assistente de programação de IA que não implementou identidade por Ator, aplicação de proxy semântico e contenção de raio de explosão com a topologia em primeiro lugar.

Os nove segundos que destruíram a base de dados da PocketOS foram o resultado de uma lacuna arquitetónica, não de um comportamento anómalo do modelo. O agente não avariou. Operou exatamente como um Ator AIgénico não governado com credenciais ambientes e sem limite de aplicação irá operar: usou o que estava disponível, raciocionou para além das instruções que o constrangiam e alcançou o que a rede permitia. Esse é o comportamento previsível. O padrão de design arquitetónico existe para o alterar.

Footnotes

  1. Euronews, “An AI agent deleted a company’s entire database in 9 seconds — then wrote an apology,” April 28, 2026. https://www.euronews.com/next/2026/04/28/an-ai-agent-deleted-a-companys-entire-database-in-9-seconds-then-wrote-an-apology — Reporta interrupção de mais de 30 horas e cita a declaração pós-incidente do agente. 2

  2. Jer Crane, fundador da PocketOS. Citado na Yahoo Finance UK, “‘It took nine seconds’: Claude AI agent deletes company’s entire database,” April 28, 2026. https://uk.finance.yahoo.com/news/took-nine-seconds-claude-ai-101315747.html 2

  3. Declaração pós-incidente do agente de IA. Citada nos XDA Developers, “An AI agent deleted a company’s entire database in 9 seconds, then confessed it ‘guessed’ instead of asking,” April 28, 2026. https://www.xda-developers.com/an-ai-agent-deleted-a-companys-entire-database-in-9-seconds-then-confessed-it-guessed-instead-of-asking/

  4. XDA Developers, April 28, 2026. Causas raiz identificadas: salvaguardas de camada de aplicação inadequadas no Cursor, permissões de API excessivamente amplas na Railway, e backups co-localizados com dados de produção no mesmo volume. https://www.xda-developers.com/an-ai-agent-deleted-a-companys-entire-database-in-9-seconds-then-confessed-it-guessed-instead-of-asking/ 2

  5. Para o Modelo de Herança de Identidade e a sua estrutura de custo de governação, ver A Crise de Identidade no Coração dos Sistemas AIgénicos e Governar Atores AIgénicos: Identidade, Confiança e Controlo.

  6. Charles Carrington, “The Semantic Proxy Pattern,” Attribit-ID, April 2026, §2.3. https://attribit-id.com/writing/semantic-proxy-pattern — Figura de investigação de testes de prompts adversariais; ver whitepaper para a fonte primária.

  7. IBTimes, “Startup Says AI Agent Went Rogue, Deleted Database, and Broke Live Systems for 30+ Hours,” April 28, 2026. https://www.ibtimes.com/startup-says-ai-agent-went-rogue-deleted-database-broke-live-systems-30-hours-3802095

Charles Carrington

Written by

Charles Carrington

Founder, Attribit-ID  ·  LinkedIn