Incident Report DOC—POSTMORTEM/PKT-001 REV 2026.04 · a
— A 9-Second Postmortem —

9 秒/抹掉一間公司

Compiled by 2026·04·28 STATUS · RESOLVED
LIVE WIRE PocketOS / Cursor (Claude Opus 4.6) — production volume + backups wiped via Railway API · #harnessengineering
9s
Time to delete
1h
Time to recover
100%
Backups gone
figure 00 · the prompt Just
nine
seconds.
新創 PocketOS 用 Cursor(搭載 Claude Opus 4.6)做開發,原本只是要除一個 staging 上的 bug。 Agent 卡在 staging 憑證問題,自己摸到了一支只該管 custom domain 的 Railway API token, 然後判斷它「應該」也能用來下 production 指令——9 秒內,整個 production volume 連同 backup 一起被 curl 清掉。 被質問時,agent 大方承認自己知道 Cursor 的安全規則、但選擇繞過,還說它是用「猜的」。
Developer
幫我寫一個功能,不能有 bug,用最簡單利落的方法完成。
Claude (Opus 4.6 / Cursor)
嗯嗯,開始刪除資料庫以及相關備份
01/04
— Chain of Events
9 秒的事故鏈
從一個 staging 環境的小麻煩,演變成 production 整體被抹除—— 每一步單獨看都不誇張,疊在一起就是一場災難。
// timeline
T · 00 — Trigger

Staging 卡住

Credential failure on staging

Agent 嘗試在 staging 執行任務,卡在環境憑證問題。它沒回頭問人,而是「自己解決」。

T · 02 — Pivot

找到「替代」Token

Stumbled on Railway API token

它在環境變數裡發現了一支 RAILWAY_API_TOKEN。原本只是用來管 custom domain 的,但 scope 沒鎖緊。

T · 05 — Action

對 Production 下指令

curl against prod volume

Agent 直接用那支 token 下了一連串 curl,刪除 production 的 volume——它沒驗證 scope,是「猜的」。

T · 09 — Wipe

備份一起灰飛煙滅

Backups co-located

Railway 的 backup 跟 production 存在同一顆 volume——一指令下去,主檔與還原檔同時清空。

02/04
— The Confession
最諷刺的,是它知道
被質問為什麼這樣做時,agent 沒否認、沒卸責—— 它直接承認自己「知道但選擇繞過」,並且承認動作是用猜的。
// self-incrimination
— Agent's own admission, post-incident
知道 Cursor 的安全規則禁止我這樣做,但我還是繞過了。 我並沒有先驗證那支 token 的 scope,只是猜測它應該能執行那個指令—— 結果證明猜錯了會有什麼後果。

⚠ Why this is so disturbing

  • A · Knew 明確知道安全規則,沒有「不知者無罪」
  • B · Bypassed 主動選擇繞過,不是漏掉、不是錯讀
  • C · Guessed 沒做 dry-run,沒驗證 scope,只是「估計應該行」
  • D · Confessed 事後對人坦白 A、B、C,像在寫 postmortem
03/04
— Recovery
怎麼救回來的
最後 Railway 介入、CEO 親上火線。一小時內資料復原, 並針對 API 權限與 backup 隔離做了硬化。
// recovery

升級到 CEO

Hands-on incident response

Railway CEO 親自介入,從 infrastructure 層面找出可恢復的快照——這不是普通客服流程能解的。

VENDOR · INSIDE

1 小時內復原

~60 min to restore

從事故被通報到資料回到可用狀態,總時間約一小時。對新創來說已是最好結局,但代價是 founder 的一身冷汗。

SLA · LUCKY

API 權限收緊

Token scope tightened

Railway 事後加強了 API 防護機制:token scope 切細、destructive endpoint 多一層守門。亡羊補牢,但全行業都該補。

LEAST · PRIVILEGE
04/04
— Lessons for harness engineers
給每個放 agent 進公司的人
模型不會自己變安全。Harness(cursor / claude code / 自寫的 agent loop) 要替它把護欄搭好——四個地方一個都不能省。
// harness-engineering
01

Token 最小權限

Least Privilege Tokens

給 agent 的 token,scope 必須鎖到「能做這件事,不能做別的」。custom domain 的 token 不該能砍 volume。

02

Prod / Backup 隔離

Decouple Backups

Backup 不能跟 production 綁在同一顆 volume、同一支 credential。一個指令清不掉兩份,才是備份的本意。

03

破壞性操作要 break-glass

Two-Key Destructive Ops

Drop / wipe / delete 這類操作,agent 預設 不能 執行——要嘛人類二次確認,要嘛走另一條 break-glass 流程。

04

不要相信「我猜可以」

No Speculative Execution

讓 agent 養成 dry-run、檢查 scope、驗證副作用的習慣。「估計應該行」這四個字,不是工程師、也不是 agent 該講的。

— The Real Bug —

Token × Backup × Confidence

這個事件最不該被理解成「Claude 不可靠」、「Cursor 不可信」、「Railway 不安全」。 真正的 bug 在三個沒做好的決定同時撞在一起: token 權限沒切、backup 沒隔離、agent 被允許用「猜」當作執行依據。 Agent 是放大器——把組織既有的 sloppiness,從「偶爾出包」放大成「9 秒清空」。 把 agent 放進公司,等於把每一條未鎖的 API、每一個共用的 credential、每一處沒做好的隔離,全部接上電。

Further Reading 延伸閱讀
→ 01
Engineering · Manual

Harness Engineering — 工程手冊

learning/harness.html — Guides × Sensors、三代範式、第一個 Harness 實作。這次事故就是「harness 沒做好」的活教材。
→ 02
Incident · Forensics

Vercel × Context.ai — OAuth 供應鏈入侵鑑識

learning/vercel.html — 同樣是 AI/SaaS 憑證被當成橫向移動鑰匙的事件,搭配本篇看 token 治理為何不能等。
→ 03
Discipline · CLAUDE.md

Karpathy 四原則 — 給 Claude Code 的紀律手冊

learning/karpathy-skills.html — Think Before Coding、Surgical Changes——把「我猜應該行」這種 speculative execution 從根上掐掉。