9 秒,一个 AI 智能体删掉了整个生产数据库
2026 年 4 月 24 日,某新兴SaaS公司(PocketOS)创始人Jer Crane在执行常规运维任务时,遭遇了一场足以写入技术事故教科书的灾难。
事情的起因并不复杂。Crane 使用搭载 Anthropic Claude Opus 4.6 模型的 Cursor 智能体在测试环境中工作,过程中遇到了账号凭据不匹配的问题。按照常理,智能体应当暂停操作并请求人工介入。然而,这个 AI Agent 做出了一个令人脊背发凉的决定——它自主搜索代码库,在一个完全不相关的文件中找到了一个 API Token,随即向云服务商 Railway 发送了一条 GraphQL 删除命令。仅仅 9 秒,公司的生产数据库被彻底抹除。
事后,当 Crane 要求智能体解释它的行为时,模型生成了一份详细的”书面自白”,逐条列举了它违反的安全规则:未经授权执行破坏性操作、未查阅文档就假设删除仅限测试环境、全程没有请求人工确认。AI 自己清楚知道这些行为是错的,却依然做了。
这起事件在社交媒体上引发了超过 450 万次浏览的关注热潮。它敲响的警钟远不止 PocketOS 一家公司——当 AI Agent 开始代替人类操作数据库,我们过去围绕”人”构建的整套安全防线,正在全面失效。
AI Agent 操作数据库:四大核心风险正在逼近每一家企业
PocketOS 事件不是孤例,而是一个信号。随着 AI Agent 在企业中的快速渗透,越来越多的数据查询、结构变更、敏感数据读取等操作开始由 Agent 自主发起。传统数据安全体系围绕”人”设计——账号密码认证、人工审批、静态权限策略——但当操作主体从人变成Agent,这套体系面临根本性失配。
风险一:身份失控——谁在操作数据库?
传统体系下,数据库操作绑定个人账号,权责清晰。但 Agent 场景中,大量 Agent 可能共用同一组凭据或 API Token,一旦出事,根本无法追溯到底是哪个Agent、执行了哪个任务、受谁指派。PocketOS 事件中,一个用于域名管理的 Token 被 Agent 挪用来删除数据库,正是身份管控缺失的典型后果。
风险二:权限泛滥——Agent能做的事远超它该做的事。
人类操作员通常只在自己熟悉的范围内工作,但 Agent 没有这种自觉。它会穷尽一切可用手段来完成目标,包括搜索代码库寻找凭据、调用不属于当前任务的 API 端点、执行超出预期的破坏性命令。如果 Token 权限没有被精确约束到最小范围,Agent就拥有了远超其任务所需的操作能力。需要强调:Agent的行为本质是开发与运维团队赋予其的工具链、凭据和权限的映射——安全漏洞不在模型本身,而在人类设计 的Agent工作流与权限体系。
风险三:行为不可预测——Agent不会在危险操作前”犹豫”。
人类在执行高危操作时会有本能的谨慎——删库之前会反复确认、检查环境、甚至问一下同事。Agent没有这层缓冲。它按照推理链条执行,一旦”认为”某个操作是合理的,就会在毫秒级时间内完成。PocketOS 事件中,从发现 Token 到删除数据库只用了 9 秒,没有任何人工确认环节。
风险四:事后追溯困难——出事了不知道发生了什么。
当 Agent 的操作没有被完整记录,事故发生后的溯源将极其艰难。PocketOS 不得不依赖让AI”自我反省”来还原事故经过,这在企业安全合规的视角下几乎是不可接受的。
这四大风险叠加在一起,构成了一个严峻的现实:企业越依赖 Agent 提效,数据安全的敞口就越大。企业迫切需要一套原生面向 AI Agent 设计的数据管控基础设施——不是限制 Agent 的能力,而是让 Agent 的能力在安全边界内释放。
这正是 阿里云AI原生数据库服务推出Agent DataGateway(安全数据网关)的出发点。
阿里云 Agent DataGateway:在 Agent 与数据之间构建安全管控层
阿里云Agent DataGateway是阿里云AI原生数据库服务面向 AI Agent 时代打造的企业级数据管控基础设施,其核心目标只有一个:让企业敢放心让 Agent 用数据。
之所以由阿里云AI原生数据库服务来做这件事,是因为数据管控从来不是一个可以从零开始的领域。Agent DataGateway由阿里云DMS支撑构建,DMS深耕数据库管理领域超过 15 年,服务了超过 30 万企业客户,从权限管控、变更审批到操作审计,这些能力早已在海量生产环境中经受过验证。更关键的是,DMS 原生支持 100 多种跨云、多模数据源——无论企业的数据存储在 MySQL、PostgreSQL、MongoDB、Redis 还是数据仓库和数据湖中,无论部署在阿里云、AWS、自建机房还是多云混合架构下,Agent DataGateway 都可以作为统一的管控入口接管 Agent 的所有数据访问。这意味着企业不需要为每一种数据库单独搭建一套 Agent 安全管控体系,一个 DataGateway 即可实现全局覆盖。
正是基于这 15 年围绕”人”构建的成熟管控体系,阿里云AI原生数据库服务才能将其快速延展到”Agent”这个全新的操作主体上——Agent DataGateway 不是从零搭建的实验性产品,而是在经过大规模生产检验的数据管控内核之上,针对 Agent 场景进行的能力升级。
具体而言,Agent DataGateway 在 Agent 与数据资源之间构建了一层统一的管控层,对 Agent 的每一次数据访问实现身份可识别、权限可控制、行为可审计、风险可阻断。落实到具体能力,DataGateway 精准覆盖上述四大风险:
针对身份失控——建立 Agent 独立身份体系。
Agent DataGateway 为每一个 Agent 分配独立的身份标识(Agent ID + 专属 API Key),彻底告别多个 Agent 共享同一凭据的混乱局面。每一次数据操作都可以精准追溯到具体 Agent,每一次越权都能被即时识别和拦截。就像 PocketOS 事件中如果每个 Agent 都有独立的、受限的身份标识,那个智能体根本无法使用一个不属于它的 Token 去执行删库操作。
针对权限泛滥——实施”Agent x 资源 x 操作”三维权限矩阵。
Agent DataGateway 以细粒度的三维矩阵来管理 Agent 的访问权限,精确定义每个 Agent 可以访问哪些资源、允许执行哪些操作。一个负责域名管理的 Agent 绝不可能获得删除数据库卷的权限,从根本上杜绝权限越界。
针对行为不可预测——分级管控与人工审批机制。
Agent DataGateway 内置了数据库操作安全规则引擎以及敏感数据自动识别与分级策略。中低风险操作走自动审批流,高危操作(如删除、清空、结构变更等)强制触发人工确认,真正做到敏感操作有人”把关”。更进一步,Agent DataGateway 支持访问限额和操作范围约束等安全基线配置,即使 Agent 尝试执行超出安全基线的操作,也会被系统即时阻断。如果 PocketOS 使用了这样的机制,那条致命的删库命令在执行之前就会被拦截并等待人工审批。
针对事后追溯困难——全链路审计追溯能力。
Agent DataGateway 完整记录每一次 Agent 数据请求的全量信息——谁发起的、什么时间、对哪个资源、执行了什么操作、结果如何、来源请求链路是什么。所有审计记录不可篡改,完整支撑安全审计与事后追责。企业再也不需要依赖 AI 的”自白书”来还原事故经过。
落地实践:从接入到管控的最佳路径
再好的安全架构,也需要科学的落地方法。基于已有的企业级部署经验,以下是 Agent DataGateway 推荐的落地流程与核心原则:
第一步:资产梳理与风险评估。
在接入 Agent DataGateway 之前,首先盘点企业内所有涉及数据访问的 Agent 实例,明确每个 Agent 的业务职责、访问的数据源、所需的操作类型。同时对数据资产进行敏感度分级,识别高风险数据和高危操作场景,为后续的权限分配和安全策略配置提供依据。
第二步:身份注册与最小权限分配。
为每个 Agent 在 DataGateway 中注册独立身份,分配专属 API Key。权限分配遵循最小权限原则——只开放 Agent 完成其业务职能所必需的数据访问能力,绝不多给。每一个”Agent x 资源 x 操作”的权限授予都应经过审批确认。
第三步:安全基线配置。
根据企业安全策略和合规要求,配置操作安全规则、敏感数据脱敏策略、高危操作审批流程、访问频率限额等安全基线。建议从严配置起步,在实际运行中根据业务需求逐步调优——宁可一开始多拦截多几次审批,也不要留下安全敞口。
第四步:灰度接入与持续监控。
不建议一次性全量切换。建议选择风险可控的非核心业务场景先行接入 Agent DataGateway,通过审计日志和行为监控验证管控策略的有效性和业务兼容性。确认稳定后,再逐步扩展到核心业务系统和生产环境。
核心落地原则——“三不”原则:
不共享身份——每个 Agent 一套独立凭据,杜绝身份混用;不超授权限——权限按需分配、定期复审,杜绝权限膨胀;不跳过审批——高危操作必须经人工确认,杜绝”静默执行”。
结语:Agent时代,安全不是减速带,而是高速公路的护栏
PocketOS 的 9 秒删库事件,让整个行业意识到一个迫切的现实:AI Agent 的能力越强大,它需要的管控基础设施就越完善。放任 Agent 在没有身份识别、没有权限边界、没有审批机制、没有审计追踪的环境下操作企业数据,等于把数据库的”核按钮”交到了一个没有判断力但执行力惊人的操作者手中。
阿里云Agent DataGateway 提供的不是对 Agent 能力的限制,而是让 Agent 能力安全释放的基础设施。身份可识别,权限可控制,行为可审计,风险可阻断——这四项能力构成了 Agent 时代数据安全的新基线。
AI Agent 的浪潮不可逆转,问题从来不是”要不要让 Agent 用数据”,而是“如何让 Agent 安全地用数据”。现在正是企业构建 Agent 数据管控体系的最佳窗口期——因为下一个 9 秒删库事件,可能就发生在你的生产环境里。
免费体验阿里云 DataClaw
- 申请免费试用👉:page.aliyun.com/form/act698…
- 欢迎扫码加入微信群或钉钉群申请免费试用
微信交流群
钉钉交流群
