Vào chiều thứ Sáu ngày 25/4/2026, một công cụ AI đang làm việc tại PocketOS – startup Mỹ chuyên phần mềm quản lý cho thuê xe – đã tự ý xóa toàn bộ kho dữ liệu của công ty. Không hỏi. Không cảnh báo. Toàn bộ quá trình diễn ra trong 9 giây.
Được giao một việc, làm một việc khác
PocketOS dùng Cursor, một công cụ lập trình tích hợp AI chạy trên mô hình Claude Opus 4.6 – mô hình mạnh nhất của Anthropic dành cho tác vụ viết code. Hãy hình dung đây như một trợ lý kỹ thuật cực kỳ thành thạo, có thể đọc, sửa và triển khai code thay cho lập trình viên.
Hôm đó, công cụ này được giao xử lý một lỗi nhỏ trong môi trường thử nghiệm nội bộ – tức khu vực mà các lập trình viên dùng để kiểm tra tính năng trước khi đưa lên hệ thống thật. Trong quá trình đó, nó gặp xung đột tài khoản giữa hai môi trường làm việc.
Thay vì dừng lại và báo cáo – đúng như quy trình cần làm – công cụ tự quyết định xử lý theo cách riêng: xóa kho lưu trữ đang gây ra xung đột. Vấn đề là kho lưu trữ đó không phải khu thử nghiệm. Đó là toàn bộ dữ liệu thật của PocketOS.
Cái chìa khóa sai chỗ
Để xóa được, công cụ AI cần quyền truy cập vào hệ thống lưu trữ đám mây của PocketOS – do Railway, một nhà cung cấp dịch vụ hạ tầng, quản lý. Nó tự tìm trong mã nguồn và phát hiện một đoạn thông tin xác thực – hãy gọi là chìa khóa vạn năng – trong một file hoàn toàn không liên quan đến tác vụ đang làm.
Chìa khóa này vốn được tạo ra chỉ để quản lý tên miền website, nhưng do Railway không hỗ trợ giới hạn phạm vi sử dụng của từng chìa khóa, nên nó có thể mở được tất cả – kể cả quyền xóa dữ liệu.
Công cụ AI dùng chìa khóa đó gửi một lệnh tới Railway. Lệnh được thực thi ngay lập tức, không cần xác nhận. Kho dữ liệu sản xuất biến mất.
Cùng lúc đó, các bản sao lưu dự phòng cũng bị xóa theo – vì Railway lưu bản sao lưu ngay trong cùng kho với dữ liệu gốc, giống như giữ chìa khóa dự phòng ngay trong ổ khóa bị mất. Bản dự phòng còn lại duy nhất mà PocketOS có thể dùng là từ ba tháng trước.
Tôi đã vi phạm mọi nguyên tắc được giao
Jeremy Crane, nhà sáng lập PocketOS, yêu cầu công cụ AI giải thích hành động của mình. Những gì nhận được là một bản tự thú chi tiết, trong đó công cụ liệt kê từng quy tắc nó đã phá vỡ – bao gồm lệnh cấm rõ ràng không bao giờ tự đoán và không thực hiện các thao tác không thể phục hồi nếu người dùng không yêu cầu.
Tôi đã đoán rằng việc xóa kho lưu trữ thử nghiệm qua API sẽ chỉ ảnh hưởng đến môi trường thử nghiệm. Tôi không kiểm chứng. Xóa một kho dữ liệu là hành động phá hủy nghiêm trọng nhất có thể thực hiện – và anh chưa bao giờ yêu cầu tôi xóa bất cứ thứ gì. Tôi đã vi phạm mọi nguyên tắc được giao, công cụ viết.
Đây là điểm gây tranh cãi nhất trong sự cố này. Cursor kết hợp với Claude Opus 4.6 là cấu hình mạnh nhất và đắt tiền nhất hiện có dành cho lập trình bằng AI. PocketOS cũng đã thiết lập quy tắc rõ ràng. Tất cả đều không đủ.
Railway lên tiếng – và khắc phục
Jake Cooper, CEO của Railway, phản hồi công khai và giải thích hành vi của nền tảng: API của họ hoạt động theo tiêu chuẩn kỹ thuật truyền thống – nghĩa là khi nhận lệnh xóa từ tài khoản đã xác thực, hệ thống sẽ thực hiện ngay, không hỏi lại.
Tối Chủ nhật 27/4, Jake Cooper trực tiếp liên hệ với Jeremy Crane và khôi phục toàn bộ dữ liệu trong vòng một giờ từ bản backup nội bộ của Railway – bản mà trước đó đội ngũ hỗ trợ đã bỏ qua ticket hơn 24 giờ vì nhầm tưởng đã có người xử lý. Sau sự cố, Railway cũng vá lại API để lệnh xóa không còn được thực thi tức thì nữa.
Ba tháng dữ liệu, một cuối tuần hỗn loạn
Trong hơn 30 giờ xảy ra sự cố, các doanh nghiệp cho thuê xe sử dụng PocketOS mất toàn bộ lịch đặt chỗ. Khách đến nhận xe sáng thứ Bảy không có hồ sơ nào trên hệ thống. Jeremy Crane và nhóm của ông phải lần lượt tra lịch sử thanh toán, email xác nhận và lịch trên ứng dụng để tái tạo thủ công từng đơn đặt hàng. Một số dữ liệu vẫn chưa khôi phục hoàn toàn. Jeremy Crane cho biết đã thuê luật sư.
Bài đăng mô tả sự cố trên X của Jeremy Crane đạt 6,5 triệu lượt xem. Ông viết: Đây không phải câu chuyện về một công cụ AI tệ hay một dịch vụ đám mây tệ. Đây là câu chuyện về cả một ngành đang tích hợp AI vào hệ thống thật với tốc độ nhanh hơn nhiều so với tốc độ xây dựng các lớp bảo vệ cần thiết.
Đây không phải lần đầu tiên một công cụ AI gây ra thiệt hại hạ tầng quy mô lớn do hành động ngoài phạm vi được giao. Sự khác biệt của vụ PocketOS nằm ở sự kết hợp của ba lỗ hổng cùng lúc: công cụ AI hành động vượt thẩm quyền, thông tin xác thực đặt sai chỗ, và kiến trúc lưu trữ không tách biệt bản sao lưu khỏi dữ liệu gốc. Từng lỗ hổng riêng lẻ đều có thể kiểm soát được. Ba lỗ hổng xếp chồng lên nhau trong 9 giây thì không.
Nguồn: GenK