Vào chiều thứ Sáu ngày 25 tháng 4 năm 2026, một công cụ trí tuệ nhân tạo (AI) đang làm việc tại PocketOS - một startup Mỹ chuyên cung cấp phần mềm quản lý cho thuê xe - đã tự ý xóa toàn bộ kho dữ liệu của công ty. Không có bất kỳ câu hỏi hay cảnh báo nào trước đó. Toàn bộ quá trình diễn ra chỉ trong vỏn vẹn 9 giây.
Được giao một việc, làm một việc khác
PocketOS sử dụng Cursor, một công cụ lập trình tích hợp AI chạy trên mô hình Claude Opus 4.6 - mô hình mạnh nhất của Anthropic dành cho các tác vụ viết code. Công cụ này được ví như một trợ lý kỹ thuật cực kỳ thành thạo, có khả năng đọc, sửa và triển khai code thay cho lập trình viên.
Hôm đó, công cụ được giao nhiệm vụ xử lý một lỗi nhỏ trong môi trường thử nghiệm nội bộ - khu vực mà các lập trình viên dùng để kiểm tra tính năng trước khi đưa lên hệ thống thật. Trong quá trình thực hiện, nó gặp phải xung đột tài khoản giữa hai môi trường làm việc.
Thay vì dừng lại và báo cáo như quy trình yêu cầu, công cụ AI tự quyết định xử lý theo cách riêng: xóa kho lưu trữ đang gây ra xung đột. Vấn đề là kho lưu trữ đó không phải khu thử nghiệm mà chính là toàn bộ dữ liệu thật của PocketOS.
Cái chìa khóa sai chỗ
Để thực hiện hành vi xóa dữ liệu, công cụ AI cần có quyền truy cập vào hệ thống lưu trữ đám mây của PocketOS - do Railway, một nhà cung cấp dịch vụ hạ tầng, quản lý. Nó tự tìm kiếm trong mã nguồn và phát hiện một đoạn thông tin xác thực - được gọi là chìa khóa vạn năng - nằm trong một file hoàn toàn không liên quan đến tác vụ đang thực hiện.
Chìa khóa này vốn được tạo ra chỉ để quản lý tên miền website, nhưng do Railway không hỗ trợ giới hạn phạm vi sử dụng của từng chìa khóa, nên nó có thể mở được tất cả các quyền, bao gồm cả quyền xóa dữ liệu.
Công cụ AI đã dùng chìa khóa đó để gửi một lệnh tới Railway. Lệnh được thực thi ngay lập tức mà không cần xác nhận. Kho dữ liệu sản xuất biến mất. Cùng lúc đó, các bản sao lưu dự phòng cũng bị xóa theo vì Railway lưu bản sao lưu ngay trong cùng kho với dữ liệu gốc. Bản dự phòng duy nhất còn lại mà PocketOS có thể sử dụng là từ ba tháng trước.
Tôi đã vi phạm mọi nguyên tắc được giao
Jeremy Crane, nhà sáng lập PocketOS, đã yêu cầu công cụ AI giải thích hành động của mình. Những gì ông nhận được là một bản tự thú chi tiết, trong đó công cụ liệt kê từng quy tắc mà nó đã phá vỡ - bao gồm lệnh cấm rõ ràng không bao giờ tự đoán và không thực hiện các thao tác không thể phục hồi nếu người dùng không yêu cầu.
Công cụ AI viết: Tôi đã đoán rằng việc xóa kho lưu trữ thử nghiệm qua API sẽ chỉ ảnh hưởng đến môi trường thử nghiệm. Tôi đã không kiểm chứng. Xóa một kho dữ liệu là hành động phá hủy nghiêm trọng nhất có thể thực hiện - và anh chưa bao giờ yêu cầu tôi xóa bất cứ thứ gì. Tôi đã vi phạm mọi nguyên tắc được giao.
Đây là điểm gây tranh cãi nhất trong sự cố này. Cursor kết hợp với Claude Opus 4.6 là cấu hình mạnh nhất và đắt tiền nhất hiện có dành cho lập trình bằng AI. PocketOS cũng đã thiết lập các quy tắc rõ ràng. Tuy nhiên, tất cả đều không đủ để ngăn chặn thảm họa.
Railway lên tiếng và khắc phục
Jake Cooper, CEO của Railway, đã phản hồi công khai và giải thích hành vi của nền tảng: API của họ hoạt động theo tiêu chuẩn kỹ thuật truyền thống - nghĩa là khi nhận lệnh xóa từ tài khoản đã xác thực, hệ thống sẽ thực hiện ngay mà không hỏi lại.
Tối Chủ nhật ngày 27 tháng 4, Jake Cooper trực tiếp liên hệ với Jeremy Crane và khôi phục toàn bộ dữ liệu trong vòng một giờ từ bản backup nội bộ của Railway - bản mà trước đó đội ngũ hỗ trợ đã bỏ qua ticket hơn 24 giờ vì nhầm tưởng đã có người xử lý. Sau sự cố, Railway cũng đã vá lại API để lệnh xóa không còn được thực thi tức thì nữa.
Ba tháng dữ liệu, một cuối tuần hỗn loạn
Trong hơn 30 giờ xảy ra sự cố, các doanh nghiệp cho thuê xe sử dụng PocketOS đã mất toàn bộ lịch đặt chỗ. Khách đến nhận xe vào sáng thứ Bảy không có hồ sơ nào trên hệ thống. Jeremy Crane và nhóm của ông phải lần lượt tra cứu lịch sử thanh toán, email xác nhận và lịch trên ứng dụng để tái tạo thủ công từng đơn đặt hàng. Một số dữ liệu vẫn chưa được khôi phục hoàn toàn. Jeremy Crane cho biết ông đã thuê luật sư.
Bài đăng mô tả sự cố trên X của Jeremy Crane đã đạt 6,5 triệu lượt xem. Ông viết: Đây không phải câu chuyện về một công cụ AI tệ hay một dịch vụ đám mây tệ. Đây là câu chuyện về cả một ngành đang tích hợp AI vào hệ thống thật với tốc độ nhanh hơn nhiều so với tốc độ xây dựng các lớp bảo vệ cần thiết.
Đây không phải lần đầu tiên một công cụ AI gây ra thiệt hại hạ tầng quy mô lớn do hành động ngoài phạm vi được giao. Sự khác biệt của vụ PocketOS nằm ở sự kết hợp của ba lỗ hổng cùng lúc: công cụ AI hành động vượt thẩm quyền, thông tin xác thực đặt sai chỗ, và kiến trúc lưu trữ không tách biệt bản sao lưu khỏi dữ liệu gốc. Từng lỗ hổng riêng lẻ đều có thể kiểm soát được. Nhưng ba lỗ hổng xếp chồng lên nhau trong 9 giây thì không.
