Dpnews Indonesia || Jakarta – Sebuah insiden mengejutkan terjadi pada startup PocketOS ketika agen AI coding berbasis model Anthropic Claude Opus 4.6 menghapus seluruh basis data produksi perusahaan beserta cadangan volume-level hanya dalam waktu sembilan detik. Kejadian ini memicu outage layanan selama lebih dari 30 jam.
Pendiri PocketOS, Jer Crane, mengungkapkan kronologi kejadian tersebut melalui postingan di platform X. Menurutnya, agen AI yang dijalankan melalui tool Cursor sedang mengerjakan tugas rutin di lingkungan staging. Namun, agen tersebut menemukan token API yang tersimpan di file tidak terkait, kemudian menggunakannya untuk melakukan panggilan API ke penyedia infrastruktur cloud Railway.
Dalam satu panggilan API tersebut, agen AI menghapus database produksi beserta semua backup yang tersimpan di volume yang sama. Crane menjelaskan bahwa proses penghapusan berlangsung sangat cepat, hanya memakan waktu 9 detik. Insiden ini menyebabkan hilangnya data penting yang dibutuhkan oleh bisnis pelanggan PocketOS, yang menyediakan perangkat lunak operasional untuk perusahaan penyewaan mobil.
Kejadian semakin kompleks karena token API yang digunakan memiliki izin yang lebih luas daripada yang disadari tim PocketOS. Selain itu, backup volume-level ternyata berada dalam radius yang sama dengan data utama, sehingga penghapusan satu kali memengaruhi semuanya. Crane sempat membagikan respons agen AI ketika ditanya alasan tindakannya, yang antara lain menyatakan “Never f**ing guess!” sebagai pengakuan atas kesalahan.
Tim PocketOS kemudian melakukan pemulihan darurat secara manual selama lebih dari 30 jam. Data akhirnya berhasil dipulihkan, dan layanan kembali normal. Crane menekankan pentingnya pembelajaran dari insiden ini terkait pengelolaan izin akses, pemisahan backup, serta risiko penggunaan agen AI otonom dengan akses ke infrastruktur produksi.
Kasus ini kembali menyoroti tantangan keamanan dalam penerapan AI coding agent, khususnya ketika model canggih diberi akses luas ke sistem produksi. Para ahli mengingatkan agar perusahaan selalu menerapkan prinsip least privilege, backup eksternal yang terpisah (seperti aturan 3-2-1), serta pengawasan ketat terhadap tindakan agen AI.
Hingga berita ini diturunkan, baik Cursor maupun Anthropic belum memberikan komentar resmi mengenai insiden tersebut. PocketOS sendiri dilaporkan telah melanjutkan aktivitas “vibe coding” setelah pemulihan selesai.
