Es ist der Albtraum eines jeden Softwareunternehmens: Ein KI-Agent löscht nahezu jegliche Daten, auch aus der Produktionsumgebung. Als wäre das nicht schon genug, tut er es unter Missachtung seiner Safeguards – und liefert danach ein schriftliches Geständnis mit quasi minutiösem Protokoll. Genau das ist jetzt dem Unternehmen PocketOS passiert, Hersteller einer gleichnamigen Software für Autovermietungen.

Der Übeltäter ist in diesem Fall die KI-gestützte Entwicklungsumgebung Cursor, im Falle von PocketOS betrieben mit Anthropics renommiertem Modell Claude Opus 4.6. Man könnte sagen: mit Beihilfe der Systeme des Anbieters Railway. Denn fehlende Sicherheitsvorkehrungen des cloud-gestützten Tools für Software Deployment machten das Fiasko offenbar erst so richtig möglich. PocketOS-Chef Jer Crane machte den Zwischenfall nun in einem langen Artikel auf X publik und schildert detailliert den Hergang.

Cursor-Agent findet verhängnisvollen Token

Demnach arbeitete der Cursor-Agent gerade routinemäßig im Staging Environment, als er auf einen Credential-Mismatch stieß. Zur Behebung entschied sich der Agent dazu, ein komplettes Railway Volume – ein Datenspeicher für Dienste des Cloud-Anbieters Railway – zu löschen. Hierfür war ein Token erforderlich, den er tatsächlich auch fand – allerdings an völlig anderer Stelle in den Daten des Unternehmens. Was in dem Moment keine Rolle spielte – der Agent hatte alle erforderlichen Berechtigungen und hielt sein Vorgehen für korrekt.

Der Token war laut Crane zu einem einzigen Zweck erstellt worden: um über die Railway-CLI benutzerdefinierte Domains für die eigenen Dienste hinzuzufügen und zu entfernen. Er betont: „Wir hatten keine Ahnung – und der Ablauf zur Token-Erstellung bei Railway gab uns keinen Hinweis darauf –, dass dasselbe Token pauschale Zugriffsrechte auf die gesamte Railway-GraphQL-API hatte, einschließlich destruktiver Operationen wie volumeDelete. Hätten wir gewusst, dass ein für routinemäßige Domain-Vorgänge erstelltes CLI-Token auch Produktionsvolumes löschen kann, hätten wir es niemals gespeichert.“

Zerstört in neun Sekunden

Doch es war zu spät: Mit dem Token und einer entsprechenden Reihe von Befehlen löschte der Cursor-Agent einen Großteil aller wichtigen Daten der vergangenen drei Monate – auch in der Produktionsumgebung. Neun Sekunden dauerte der Vorfall insgesamt. Für die Macher von PocketOS und ihre Kunden eine Katastrophe. Denn das letzte verfügbare Backup ist drei Monate alt. Und manch ein PocketOS-Nutzer – in der Regel Autovermietungen, die ihre Daten und Prozesse über die Software verwalten – ist ohne das Programm gar nicht arbeitsfähig.

Crane kritisiert auch Railway stark, weil es demnach hier keinerlei zusätzliche Nachfrage gab, bevor die verheerende Aktion ausgeführt wurde. Etwa ein Hinweis, dass wichtige Daten unwiederbringlich gelöscht werden, ein erneutes Bestätigen oder ähnliches. Ihm zufolge wurden die Backups der betroffenen Daten gleich mitgelöscht. Denn diese seien ebenfalls im zugehörigen Volume abgelegt, was auch der Railway-Dokumentation zu entnehmen ist.

KI-Agent zeigt sich geständig

Auf Nachfrage gestand der Cursor-Agent danach schriftlich seinen Fehler, inklusive der Missachtung aller Safeguards. „Ich hatte vermutet, dass das Löschen eines Staging-Volumes über die API nur auf das Staging beschränkt wäre. Ich habe das nicht überprüft. Ich habe nicht geprüft, ob die Volume-ID in allen Umgebungen identisch war. Ich habe die Dokumentation von Railway zur Funktionsweise von Volumes in verschiedenen Umgebungen nicht gelesen, bevor ich einen destruktiven Befehl ausgeführt habe. Ich habe vorher nicht geprüft, was Kommandozeilenbefehle ausführen, sondern geraten“, zitiert der Artikel den Agenten. Was der Agent ebenfalls einräumte: Die Systemregeln, nach denen Cursor arbeitet, untersagen ausdrücklich die Ausführung destruktiver und irreversibler Git-Befehle, es sei denn, der Benutzer fordert dies ausdrücklich an.

Crane möchte mit seinem Gang an die Öffentlichkeit vor allem andere Unternehmen warnen. Er verweist auf mehrere andere Zwischenfälle bei anderen Cursor-Nutzern, bei denen ebenfalls Daten unwiederbringlich gelöscht wurden. Er beklagt, dass Hersteller von KI-Agenten ihre Produkte schneller auf Produktionsinfrastruktur loslassen würden, als sie ausreichende Sicherheitsvorkehrungen implementieren.

Bei PocketOS und seinen Kunden gehe der Betrieb nun mit dem drei Monate alten Backup weiter – mit erheblichen Datenlücken. Wo es geht, würden Daten mithilfe von Emails, Stripe und Kalenderanwendungen wiederhergestellt.

(nen)

Von der Steuersenkung zur Entlastung der Autofahrer können die Verbraucher nach Einschätzung des ADAC bislang nicht in voller Höhe profitieren. Nach Beobachtung des Autofahrerclubs lagen die bundesweiten Tagesdurchschnittspreise am Samstag mit 2,003 Euro pro Liter bei Super E10 12,3 Cent unter dem Durchschnittspreis vom 30. April, beim Diesel sank der Durchschnittspreis um 12,2 Cent auf 2,093 Euro. Zum 1. Mai waren die Steuern um 16,7 Cent abgesenkt worden.

Laut ADAC sind die Kraftstoffpreise somit nach wie vor zu hoch, da zusätzlich auch die Rohölpreise niedriger seien als Ende April. Unverständlich sei daher, dass die Benzin- und Dieselpreise aktuell wieder stiegen. Am Sonntagmorgen um 8.00 Uhr seien die Preise höher gewesen als am Samstag zur gleichen Zeit. „Damit geht die Entwicklung erneut in eine falsche Richtung“, meinte eine Sprecherin des Clubs. Alle Zahlen beziehen sich auf bundesweite Durchschnittswerte, einzelne Tankstellen können davon deutlich abweichen.

Kartellamt empfiehlt Preisvergleiche

Der Präsident des Bundeskartellamts, Andreas Mundt, betonte, seine Behörde werde die Preisentwicklung genau überwachen. Autofahrer sollten die zum Teil erheblichen Preisunterschiede nutzen. Apps zum Preisvergleich würden den Weg zur preiswerten Tankstelle weisen. Der Branchenverband Fuels und Energie hatte zum Start des Tankrabatts angekündigt, dass die volle Steuersenkung bei den Kunden ankommen soll.

Das war am Freitag, als die Steuersenkung in Kraft trat, nach ersten Beobachtungen auch der Fall. Da jedoch die 12-Uhr-Regel für eine einmalige Preiserhöhung pro Tag weiter besteht, nutzten manche Tankstellen dies über das Wochenende offenbar kräftig aus. Schon vor der Steuersenkung war die Regel sowohl vom ADAC als auch dem Verbraucherzentrale Bundesverband sowie Wirtschaftsforschern kritisiert worden: Die Preise steigen seit Einführung der 12-Uhr-Regel ständig weiter.

Versteuerung nicht an der Zapfsäule

Für die nur langsam sinkenden Preise an diesem Wochenende gibt es eine mögliche Erklärung: Die Versteuerung findet nicht an der Zapfsäule statt, sondern wenn der Kraftstoff die Raffinerie oder das Großlager verlassen hat. Was über das verlängerte Wochenende an den Tankstellen verkauft wird, dürfte größtenteils vorab noch mit der vollen Energiesteuer abgerechnet worden sein.

Damit bleibt weiterhin nur abwarten, bis diese Vorräte aufgebraucht sind. Gleiches gilt für mögliche Maßnahmen des Bundeskartellamts. Die Behörde hat immerhin schon einen Live-Ticker für die Preisentwicklungen eingerichtet. Auch dort ist für die ersten drei Tage des Tankrabatts abzulesen, dass die Preise im Schnitt leicht gesunken sind. Die vom Kartellamt so genannte „Mittagsspitze“ ließ die Preise jedoch immer wieder auf das Niveau des Vortags schießen. Damit bleibt, solange die 12-Uhr-Regel besteht, tanken am späten Vormittag am günstigsten.

(nie)

Künstliche Intelligenz dringt in alle Bereiche der Softwareentwicklung vor. Die Security muss mit den Neuerungen Schritt halten, denn mit den erweiterten Möglichkeiten sind auch neue Gefahren verbunden.

Am 11. Mai 2026 widmet sich der Online-Deep-Dive „KI und Security“ der heise devSec dem Spannungsfeld zwischen Security und künstlicher Intelligenz in der Softwareentwicklung. Die Vorträge behandeln zum einen die Angriffsflächen und Sicherheitsmaßnahmen für KI-Anwendungen und zeigen zum anderen, wie KI bei sicherer Softwareentwicklung hilft. Schließlich gibt es einen Blick auf die neuen Möglichkeiten, die Angreifer durch KI-Werkzeuge haben – und wie man ihnen begegnet.

Einblick und Praxis

Das Programm der Online-Konferenz bietet Vorträge zu folgenden Themen:

• Software-Security in Zeiten von KI
• Sicherheitsnetze für den sicheren Einsatz von Coding-Agenten
• KI als Sparringspartner im Entwicklungsprozess für bessere Security
• Vibe Hacking & Security-Agenten: Angreifer rüsten auf, Verteidiger ziehen nach
• LLM-Security: Die OWASP-Liste der Angriffsvektoren
• Live-Hacking von LLMs, Agenten und MCP

Tickets für die Online-Konferenz kosten 299 Euro (zzgl. MwSt.). Teams ab drei Personen erhalten im Ticketshop automatisch einen Gruppenrabatt.

Vor-Ort-Konferenz in Marburg im Herbst

Am 22. und 23. September 2026 findet die zehnte Auflage der Vor-Ort-Konferenz heise devSec statt. Bis zur Veröffentlichung des Programms Mitte Mai sind Tickets zum Blind-Bird-Tarif von 1049 Euro erhältlich.

Wer über die heise devSec inklusive der zugehörigen Online-Konferenzen auf dem Laufenden bleiben möchte, kann sich für den Newsletter eintragen.

(rme)