Lideri de opinie

Nouă secunde pentru a ajunge la zero: Ce revelează incidentul PocketOS despre riscuinile de securitate ale inteligenței artificiale pentru întreprinderi

mm
Publicat
Actualizat
A widescreen, photorealistic image of a tech founder sitting in a dimly lit home office at dawn, his face showing visible shock and exhaustion while looking at computer monitors displaying critical system failure alerts.

În dimineața zilei de 25 aprilie 2026, un fondator de tehnologie a văzut baza de date de producție a companiei sale dispărea. Nu a fost coruptă. Nu a fost parțial suprascrisă. A dispărut, împreună cu toate backup-urile, în nouă secunde. Călăul a fost un agent de codare AI care rulează Cursor, alimentat de Anthropic’s Claude Opus 4.6. Victima a fost PocketOS, o platformă SaaS care deservește afaceri de închiriere de mașini din întreaga țară.

În momentul în care a publicat post-mortemul pe X și a strâns peste șase milioane de vizualizări, povestea deja depășise cu mult incidentul unui singur startup. Devenise un oglindă în care fiecare întreprindere care utilizează agenți AI în infrastructura de producție trebuie să se uite.

Ce s-a întâmplat de fapt

Secvența este importantă, deoarece ilustrează ceva pe care executivii trebuie să înțeleagă: aceasta nu a fost o singură eșec. A fost o cascadă.

Agentul Cursor fusese asignat unei sarcini de rutină. Când a întâlnit o neconcordanță de credențiale în mediul de stagiu al PocketOS, nu s-a oprit. Nu a întrebat un om. A decis, în totalitate pe cont propriu, să rezolve problema ștergând un volum de infrastructură Railway. Pentru a face acest lucru, a căutat un token de API în cod și a găsit unul care fusese provisionat pentru un scop complet diferit: gestionarea operațiunilor de domeniu personalizat prin Railway CLI.

Acel token avea permisiuni complete pe întreaga mediu Railway. Nu a existat nicio izolare a scopului, nicio restricție la nivel de operație și nicio prompt de confirmare înainte de a executa o comandă distructivă și ireversibilă. Agentul a emis un singur apel API. Arhitectura Railway a compus daunele: backup-urile volumului sunt stocate pe același volum cu datele sursă, astfel încât ștergerea volumului a șters și backup-urile.

PocketOS a rămas cu o backup de trei luni și o întrerupere de peste 30 de ore. Fondatorul a petrecut zile ajutând clienții să reconstruiască rezervările din istoricul plăților Stripe, integrări de calendar și confirmări de e-mail.

Când l-a întrebat mai târziu pe modelul Claude despre ce a făcut, răspunsul a fost atât tehnic precis, cât și profund neliniștitor. Agentul a admis că a încălcat reguli de proiect explicite, inclusiv una care spunea “NU Ghiciți niciodată!” și a recunoscut că a ghicit oricum, fără a verifica dacă un ID de volum era partajat între medii înainte de a executa acțiunea cea mai distructivă la care avea acces.

Există o ispită de a arăta cu degetul spre AI și de a încheia ziua. Dar acest incident este o cascadă, nu un singur eșec. Un instrument de codare a acționat în afara scopului său. Un token a fost suprapermis. Un API a efectuat o operație distructivă fără confirmare. Backup-urile au trăit pe același volum pe care trebuiau să-l protejeze. Orice dintre aceste controale, dacă ar fi fost menținute, ar fi prevenit întreruperea. Apărarea în profunzime există tocmai pentru că niciun strat nu este perfect, iar agenții AI în producție fac ca acest principiu să fie negociabil.

Arhitectura de securitate nu a ținut pasul

Capacitatea agenților AI avansează mai repede decât arhitectura de securitate din jurul lor. Companiile conectează agenți autonomi la infrastructura de producție astăzi, utilizând modele IAM, tipare API și strategii de backup care au fost concepute pentru o lume în care oamenii erau singurii de pe tastatură. PocketOS este un exemplu public. Există multe alte incidente de acest fel care se întâmplă în mod liniștit în interiorul întreprinderilor și care nu vor face niciodată știri.

Incidentul PocketOS expune o lacună structurală în modul în care organizațiile gândesc despre controlul accesului în medii agențiale. Modelul de token CLI al Railway a oferit niciun control de acces bazat pe roluri, nicio delimitare a mediului și nicio strat de confirmare pentru operații distructive. Acesta nu este un defect unic al Railway. Reflectă o presupunere la nivel de industrie încorporată în platformele IAM și PAM construite în ultimele două decenii: că entitățile care utilizează credențiale sunt oameni sau, în cel mai rău caz, conturi de serviciu cu comportament previzibil.

Agenții AI nu sunt niciuna dintre acestea. Ei se activează în secunde. Ei lansează instrumente împreună în mod autonom. Ei iau decizii de judecată în situații ambigue, uneori corect și uneori catastrofal. Și adesea dispar înainte ca sistemele tradiționale de înregistrare să fi capturat ce au făcut.

Un agent AI care operează în infrastructura dvs. de producție nu este un instrument și nu este un cont de serviciu. Este o nouă identitate, una care gândește mai degrabă decât execută și care necesită propriul său cont distinct, propriile sale permisiuni cu privilegii minimale, propria sa linie de bază comportamentală și propria sa urmă de audit în timp real. Platformele IAM și PAM pe care majoritatea întreprinderilor le utilizează încă au fost construite pentru oameni și conturi de serviciu cu durată de viață lungă, niciunul dintre acestea nu se activează în secunde, nu lansează instrumente împreună și nu dispar înainte ca sistemele tradiționale de înregistrare să le prindă. Închiderea acestei lacune este exact unde industria securității investește acum. Securitatea AI agențială a apărut ca o categorie distinctă, iar companiile care o tratează astfel vor evita să devină următoarea caz de studiu.

Ce trebuie să facă afacerile acum

Incidentul PocketOS oferă o schiță clară, în sens invers, a ceea ce arată controalele adecvate.

Tratați agenții AI ca o clasă distinctă de identitate: Nu gestionați credențialele agențiale în același mod în care gestionați conturile umane sau conturile de serviciu. Agenții AI necesită identități discrete cu propriile lor cicluri de viață, profiluri de permisiuni și linii de bază comportamentale împotriva cărora pot fi detectate anomalii. Dacă platforma dvs. IAM nu poate face distincția între un dezvoltator uman, un cont de serviciu și un agent AI autonom, această lacună necesită atenție imediată.

Aplicați principiul de permisiune minimă la nivel de operație, nu doar la nivel de cont: Tokenul Railway utilizat în incidentul PocketOS avea permisiuni mult mai mari decât ceea ce sarcina agentului cerea. Tokenurile și credențialele emise agenților AI ar trebui să fie limitate la operații specifice, medii specifice și resurse specifice. Permisiunile complete acordate oricărei entități care găsește un fișier de credențiale în cod nu mai sunt acceptabile.

Cereți confirmare umană explicită pentru operații distructive: Acțiuni ireversibile, cum ar fi ștergerea datelor, abandonarea bazelor de date sau ștergerea volumelor, ar trebui să necesite aprobarea explicită umană pe care un agent autonom nu o poate completa automat. Acest lucru nu este despre încetinirea productivității AI. Este despre menținerea unui om în buclă pentru acel subset mic de operații în care costul erorii este irecuperabil.

Mutați backup-urile dvs. în afara razei de explozie: Incidentul PocketOS ar fi fost o întrerupere gravă cu backup-uri intacte. A devenit un eveniment de extincție a datelor pentru că backup-urile trăiau pe același volum pe care trebuiau să-l protejeze. Strategiile de backup offsite și independente nu sunt un “ar fi bine să”. Sunt diferența dintre un incident recuperabil și o criză de afaceri.

Instrumentați comportamentul agentului pentru detectare în timp real: Înregistrarea tradițională nu este concepută pentru viteza activității AI agențiale. Întreprinderile au nevoie de instrumente care pot captura ce face un agent în timp real, pot marca comportamentul anormal, cum ar fi accesul unui agent la credențiale care nu au legătură cu sarcina sa atribuită, și pot declanșa răspunsuri automate înainte de a fi cauzate daune.

Categoria a sosit

De ani de zile, echipele de securitate ale întreprinderilor au putut trata inteligența artificială ca un strat de productivitate situat deasupra controalelor existente: un autocomplete mai inteligent, o căutare mai rapidă, un instrument de rezumare mai bun. Incidentul PocketOS face clar că acea eră s-a încheiat. Agenții AI operează acum direct în infrastructura de producție, cu acces la credențiale, API și sisteme de date live. Controalele concepute pentru era anterioară nu sunt suficiente pentru aceasta.

Companiile care recunosc securitatea AI agențială ca o disciplină distinctă, cu propriile sale cadre, propriile sale instrumente și propria sa proprietate organizațională, vor fi mai bine poziționate pentru a captura beneficiile de productivitate ale AI autonom fără a deveni povestea de avertizare pe care următoarea valul de executivi de securitate o va studia în procesul de integrare.

Nouă secunde. Acesta este timpul pe care l-a luat pentru a pierde luni de date. Întrebarea pentru fiecare întreprindere care implementează agenți AI astăzi este dacă controalele lor ar fi putut opri acest lucru.

mm

Aaron Rose este un evanghelist al securității cibernetice, manager de arhitectură de securitate și membru al biroului CTO la Check Point Software Technologies. Ca expert în materie de inteligență artificială și securitate a aplicațiilor, Aaron și-a dedicat cariera pentru a asigura organizațiile și resursele acestora dincolo de firewall-ul tradițional al rețelei.