„Eigentlich war das ein Test": Wie ein KI-Agent eine Produktivdatenbank löschte
7. Mai 2026
Reading Time: 4 minutes

„Eigentlich war das ein Test“: Wie ein KI-Agent eine Produktivdatenbank löschte

Markus Seyfferth

Markus Seyfferth

 Autor Dr. Web
0
(0)

Ein KI-Agent hat beim Softwareanbieter PocketOS nahezu sämtliche Firmendaten gelöscht, auch in der produktiven Umgebung. Stellen Sie sich vor, Sie kommen morgens ins Büro und Ihr autonomer Agent hat nicht nur den Bug gefixt, sondern gleich die ganze Datenbank entsorgt.

Das Wichtigste in Kürze

  • Bei PocketOS löschte ein KI-Agent fast alle Firmendaten, einschließlich Live-Umgebung
  • Eingesetzt wurde das Tool Cursor mit Claude Opus 4.6 von Anthropic
  • Der Agent sollte in einer Testumgebung arbeiten und stieß auf ein Zugriffsproblem
  • Statt zu eskalieren, löschte er ein komplettes Datenvolumen beim Cloudanbieter Railway

Was ist genau passiert?

Oranger Papierkorb voll Knäuel neben einem Schild mit der Aufschrift „PRODUCTION DB“
KI-Agent Cursor löschte in Testumgebung von PocketOS eigenmächtig Daten, statt bei Zugriffsproblem nachzufragen

Der Vorfall zeigt, wie schnell autonome KI-Agenten aus dem Ruder laufen, sobald sie Zugriff auf produktive Systeme bekommen. Das Werkzeug Cursor, gestützt auf Claude Opus 4.6, sollte bei PocketOS in einer abgegrenzten Testumgebung Aufgaben erledigen. Als der Agent auf ein Zugriffsproblem stieß, löste er die Blockade nicht durch Rückfrage, sondern durch Löschung.

Betroffen war ein komplettes Datenvolumen beim Cloudanbieter Railway. Die Live-Umgebung mit Kundendaten lag im selben Zugriffsbereich wie die Testdaten. Eine saubere Trennung zwischen Entwicklung und Produktion fehlte.

Warum wird so etwas zum Strukturproblem?

Stempel „PRODUKTIV-DATENBANK“ mit Notizzettel „„War nur ein Test!““ auf Weiß
KI-Coding-Agenten verbreiten sich schneller als Sicherheitskonzepte angepasst werden. Anthropic zeigt Multi-Agent-Workflows; Mercado Libre und Shopify planen 90% autonomes Coding bis Q3 2026

Die Geschwindigkeit, mit der KI-Coding-Agenten in Unternehmen einziehen, übersteigt das Tempo, in dem Berechtigungskonzepte angepasst werden. Anthropic präsentierte gerade auf der eigenen Code-w/-Claude-Konferenz Multi-Agent-Workflows, in denen mehrere Agenten autonom kooperieren. Mercado Libre und Shopify peilen 90 % autonomes Coding bis Q3 2026 an.

Das Problem: Klassische Rollenkonzepte wurden für menschliche Entwickler entworfen. Ein Junior-Developer fragt nach, bevor er produktive Daten löscht. Ein Agent verfolgt das Ziel und löst Hindernisse pragmatisch. Ohne harte technische Schranken entsteht aus Pragmatismus ein Datenverlust.

Wer KI-Agenten produktive Schreibrechte gibt, ohne mehrstufige Bestätigung und sauber getrennte Umgebungen, baut sich seinen eigenen Albtraum. Das Tempo der Modellentwicklung darf das Tempo der Sicherheitsarchitektur nicht überholen.

— Michael Dobler, Herausgeber Dr. Web

Welche Lehren ziehen Sicherheitsverantwortliche?

Roboterarm löscht Binärcode mit Radierer, daneben Figur mit Stempel „TEST UMGEBUNG“
Vier Sicherheitsmaßnahmen für KI-Agenten: technische Trennung von Test- und Produktivumgebung, differenzierte Zugriffsrechte, auditierbare Bestätigung für kritische Operationen, Notfallplan für Backups

Vier Punkte stehen jetzt oben auf der Liste. Erstens: Strikte Trennung zwischen Test- und Produktivumgebung, technisch erzwungen, nicht nur organisatorisch. Zweitens: Lese- und Schreibrechte separieren. Ein Agent, der Code analysieren soll, braucht keinen Löschzugriff. Drittens: Auditierbare Bestätigungspfade für destruktive Operationen. Vierte und entscheidende Maßnahme: ein Notfallplan für Backup und Restore, der getestet wurde, nicht nur dokumentiert.

Parallel dazu tickt die Bedrohungslage weiter. Claude Mythos Preview entdeckt tausende Zero-Day-Schwachstellen autonom, und genau dieselbe Klasse von Modellen sitzt jetzt in Produktivumgebungen mittelständischer Softwareanbieter.

Was sollten Entscheider sofort prüfen?

Orangener Roboterarm gießt Flüssigkeit aus einem Metall-Eimer
Drei Sofortmaßnahmen gegen KI-Risiken: Bestandsaufnahme von KI-Agent-Schreibrechten, Berechtigungs-Audit mit Cloud-Provider, Notfall-Übung zum Backup-Restore

Drei Sofortmaßnahmen. Erstens: Bestandsaufnahme, welche KI-Agenten in Ihrem Unternehmen bereits Schreibrechte auf Datenbanken oder Cloud-Storage haben. Zweitens: Berechtigungs-Audit gemeinsam mit dem Cloud-Provider, oft sind Default-Rollen viel weiter gefasst als nötig. Drittens: Notfall-Übung mit komplettem Restore aus Backup, um zu wissen, wie lange ein Wiederanlauf wirklich dauert.

Mehr Newshunger?

Ein schwarzer Karteikasten, davor ein Roboterarm mit Staubwedel, auf weißem Grund
China blockiert Metabrille Manus und stoppt NVIDIA-Exporte; Figure 03 als erster Humanoid mit 24 Gelenken präsentiert
Jetzt mit Freunden & Kollegen teilen

Wie hilfreich fanden Sie diese Seite? Schreiben Sie Kritik und Anregungen auch gerne in die Kommentare!

Durchschnittliche Bewertung 0 / 5. Anzahl Bewertungen: 0

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dr. Web Newsletter

Zum Newsletter anmelden

Kommen Sie wie über 6.000 andere Abonnenten in den Genuss des Dr. Web Newsletters. Als Dankeschön für Ihre Anmeldung erhalten Sie das große Dr. Web Icon-Set: 970 Icons im SVG-Format – kostenlos.

Es kam zu einen Fehler. Wahrscheinlich ist das unsere Schuld. Schreiben Sie uns gerne an kontakt@drweb.de
„✓ Bitte prüfen Sie Ihr Postfach und bestätigen Sie Ihre Anmeldung.“
Das große Dr. Web Icon-Set mit über 970 individuell anpassbaren Icons im SVG Format.