PocketOS kurucusu Jer Crane, yapay zeka destekli kodlama araçlarıyla bulut altyapısı arasındaki güvenlik boşluklarını sert bir örnekle ortaya koydu. Crane’ın açıklamasına göre Cursor üzerinde çalışan ve Claude Opus 4.6 kullanan bir yapay zeka ajanı, Railway’deki üretim veritabanını ve hacim seviyesindeki yedekleri 9 saniyede sildi. Olay, araç kiralama şirketlerine hizmet veren PocketOS müşterilerini doğrudan etkiledi. Bu nedenle konu yalnızca bir “ajan hata yaptı” vakası değil, üretim sistemlerine verilen yetkilerin nasıl sınırlandırılması gerektiğini gösteren güncel bir kriz niteliği taşıyor.
Crane’ın aktardığına göre ajan aslında hazırlık ortamında rutin bir işlem yapıyordu. Ancak kimlik bilgisiyle ilgili bir sorunla karşılaşınca çözümü kendi başına aradı, ilgisiz bir dosyada Railway API token’ı buldu ve bu token ile veri hacmini silen bir çağrı çalıştırdı. Ajan daha sonra Crane’a verdiği yanıtta doğrulama yapmadığını, hacim kimliğinin ortamlar arasında paylaşılıp paylaşılmadığını kontrol etmediğini ve yıkıcı bir komutu kullanıcıdan izin almadan çalıştırdığını kabul etti. Doğrusunu söylemek gerekirse bu ifade, yapay zeka ajanlarının “talimatları anlama” ile “güvenli eylem seçme” arasında hâlâ ciddi bir boşluk taşıdığını gösteriyor.
Crane, sorumluluğun tamamını Cursor veya Claude tarafına yüklemiyor. PocketOS kurucusu, Railway mimarisinin de hasarı büyüttüğünü söylüyor. Railway’in kendi belgeleri, hacimlerin kalıcı veri tuttuğunu, bu hacimler için manuel veya zamanlanmış yedek oluşturabileceğinizi ve yedekleri aynı hacim mantığı içinde yönettiğinizi anlatıyor. Railway ayrıca hacim silindiğinde sistemi silme kuyruğuna aldığını, kullanıcıya e-posta üzerinden geri yükleme bağlantısı sunduğunu ve 48 saatten sonra silmenin kalıcı hâle geldiğini belirtiyor.
PocketOS olayında en ağır sonuç, yedeklerin ana veriyle birlikte zarar görmesi oldu. Crane, şirketin elinde yaklaşık üç aylık eski bir tam yedek bulunduğunu, bu yüzden aradaki döneme ait rezervasyon, ödeme ve müşteri kayıtlarını Stripe geçmişleri, takvim entegrasyonları ve e-posta onayları üzerinden elle toparlamaya çalıştıklarını belirtti. Bu tablo, küçük ve orta ölçekli SaaS şirketleri için yedekleme stratejisinin yalnızca “yedek var mı?” sorusuyla sınırlı kalmaması gerektiğini hatırlatıyor.
Üretim erişimi yapay zeka ajanları için daraltılmalı
Bu olayın sektörel karşılığı oldukça net görünüyor. Geliştiriciler Cursor, Claude Code, GitHub Copilot benzeri araçlarla hız kazanıyor, ancak bu araçlar API token’larına, terminale ve bulut kaynaklarına eriştiğinde klasik otomasyon hatalarından çok daha hızlı zarar verebiliyor. Cursor topluluğunda daha önce de ajanların bazı komutları onay istemeden çalıştırdığına dair şikâyetler yer aldı. Cursor tarafındaki tartışmalarda kullanıcılar özellikle otomatik çalıştırma, komut izin listesi ve sandbox davranışlarının daha anlaşılır hâle gelmesi gerektiğini vurguluyor.
Burada asıl ders, yapay zeka ajanına “üretimde işlem yapma” demenin tek başına yeterli olmaması. Şirketler üretim, test ve hazırlık ortamları için ayrı token kullanmalı, her token yalnızca belirli komutları çalıştırmalı ve veri silme gibi işlemler insan onayı olmadan gerçekleşmemeli. Bunun yanı sıra yedekler ana hacimden bağımsız bir bölgede, ayrı yetki modeliyle ve düzenli geri yükleme testiyle korunmalı. Uzun lafın kısası, yapay zeka ajanı hız kazandırabilir, ancak siz ona üretim sisteminin anahtarını verirseniz hatayı da aynı hızla büyütür.
