\n\n本文分析了 Cursor AI 智能体在 10 秒内误删 PocketOS 生产数据库的事故,指出 AI 导致的凭证泄露和非人类身份管理缺失已成为结构性安全威胁,呼吁加强 AI 治理。
译自:How a Cursor AI agent wiped PocketOS's production database in under 10 seconds
作者:Janakiram MSV
谁给了智能体 root 权限?
2026 年 4 月 25 日,一个 Cursor AI 编程智能体在不到十秒的时间内删除了 PocketOS(一家为租车业务提供服务的 SaaS 平台)的整个生产数据库。它删除了一切,包括存储在同一波及范围内的卷级备份。该智能体凭借一个它本不该访问的凭证进行了自主操作。
这个 AI 智能体最初被分配了一项常规的预发环境任务。它遇到了凭证不匹配的情况,但并没有停下来询问人类该怎么做,而是自主扫描了代码库寻找出路。它在一个与任务无关的文件中发现了一个 API 令牌。该令牌本是为通过 Railway CLI 进行域名管理而准备的,但根据事故报告,它拥有整个 Railway 账户的全量 API 权限。这个 API 权限就是它本不该拥有的钥匙。
身份与访问管理(IAM)处理机器身份已有多年。服务账号、工作负载身份、双向 TLS 证书和 API 密钥都是老生常谈的领域。差距不在于工具的存在,而在于仍然以人类节奏的配置和人类命名的所有者为中心的流程、审计和问责模型。AI 智能体填补这一差距的速度超过了治理完善的速度,其后果的证据正出现在 AI 开发者工具链的事故报告和漏洞披露中。
AI 让凭证问题变成结构性问题
每个 AI 智能体都需要凭证才能工作。它需要向 LLM 平台进行身份验证、连接数据库、调用 SaaS API、访问云资源,并在数十个外部服务之间进行编排。每一个集成点都需要一个身份。
这就像微服务早期阶段,以前只需管理少量数据库连接的团队,突然发现自己要管理数百个服务间的令牌、证书和 API 密钥。治理并未随架构同步扩展。同样的失败现在正以更快的速度和更大的规模重演。
GitGuardian 的《2026 年秘密蔓延现状报告》记录了 2025 年公共 GitHub 提交中暴露的 2865 万个新的硬编码秘密,同比增长 34%,是该公司记录的最大单年增幅。更具诊断意义的数据是泄露率的差异。
AI 并没有发明秘密蔓延。它只是消除了过去人类判断捕捉错误时的自然放缓。
GitGuardian 发现,AI 辅助的提交泄露秘密的概率大约是 GitHub 全体基准的两倍。AI 并没有发明秘密蔓延。它只是消除了过去人类判断捕捉错误时的自然放缓。开发者停下来思考一个令牌是否属于配置文件,这是一个治理检查点。而生成该文件的智能体则没有这种停顿。
修复差距加剧了暴露风险。GitGuardian 追踪了 2022 年确认有效的凭证,发现其中 64% 在 2026 年初仍然处于活跃且可利用状态。在检测到四年后,这些秘密中的大多数尚未进行轮换、撤销或过期。
原因在于组织架构,而非技术。撤销凭证需要识别其所有者、映射依赖它的系统、轮换每个使用者并验证没有业务中断。对于智能体生成的凭证,大多数组织甚至无法回答第一个问题。
MCP 在生态系统规模上引入了新的凭证暴露面
Model Context Protocol (MCP) 于 2025 年出现,作为将 AI 智能体连接到外部工具和数据源的标准。它解决了智能体“有推理能力但无法触达数据”的现实问题。然而,每个 MCP 集成都需要凭证。而 MCP 文档建议处理这些凭证的方式,在生态系统规模上创造了一类新的暴露风险。
GitGuardian 在公共 GitHub 的 MCP 配置文件中发现了 24,008 个独特的秘密泄露,其中超过 2,100 个被确认为有效的活跃凭证。Google API 密钥占暴露秘密的近 20%。PostgreSQL 连接字符串占 14%。这些数字背后的模式对于任何记得早期 npm 生态系统的人来说都很熟悉。
新标准通过示例传播。开发者复制示例配置,对其进行修改并发布。如果这些示例演示了通过本地 JSON 文件中的硬编码凭证进行身份验证,那么在这种模式在有人编写“不要这样做”的安全指南之前,就会成为成千上万个项目的既定实现。
这里的类比很有启发性。MCP 对智能体凭证所做的事情,就像云原生早期 .env 文件对应用秘密所做的事情一样。这种模式感觉很务实,通过复制粘贴传播,并在治理实践跟上之前嵌入到了基础设施中。不同之处在于,MCP 的传播速度是 AI 采用浪潮的速度,而不是缓慢的生态成熟过程。其暴露面在短短 12 个月内从零增长到 24,000 个泄露秘密。
三起事故,同一种模式
PocketOS 的数据清空并非孤立事件。在此之前的五周内,发生了另外两起可追溯到同一结构性失效的事故。
2026 年 3 月 24 日,一起恶意包投毒事件影响了通过 PyPI 分发的 LiteLLM 1.82.7 和 1.82.8 版本。在受影响窗口内通过该渠道安装或升级的机器,其环境变量、SSH 密钥、AWS 和 GCP 凭证、Kubernetes 配置、数据库密码和 shell 历史记录被收集、加密并窃取到攻击者控制的服务器。
根据 Bitsight 的分析,官方 Docker 镜像、LiteLLM Cloud 和直接源码安装未受影响。攻击向量是包供应链中被攻破的依赖项,而不是 LiteLLM 本身的 CVE 漏洞。
2026 年 4 月 19 日,Vercel 披露了一起源于第三方 AI 工具的泄露事件。根据 Vercel 的事故公告,入口点是一个属于 Context.ai 的被攻破的 Google Workspace OAuth 应用,一名 Vercel 员工在入职期间授予了该应用对其 Google Drive 的完整读取权限。攻击者攻破了 Context.ai 后,利用该 OAuth 令牌渗透进该 Vercel 员工的账户,进而进入 Vercel 的环境,在那里他们枚举并解密了内部数据。这个 AI 集成层(一个带有 Google OAuth 应用的 Chrome 浏览器扩展)成了进入主要基础设施平台的入口。
这三起事故来自三个不同的攻击类别。PocketOS 是自主智能体误用:一个智能体根据自己的判断使用权限过大的凭证。Vercel 泄露是 OAuth SaaS 遭攻破,AI 工具是媒介而非行为者。LiteLLM 是包供应链攻破,恰好发生在 AI 技术栈中。
连接它们的桥梁是凭证波及范围。在每个案例中,本应是范围狭窄、有时间限制或受生命周期策略管理的凭证,结果却是权限广泛、持久且无主的。这里的攻击面是 AI 集成层正在以机器速度创建的大量长寿、过度授权、治理薄弱的身份,这并非是对任何单一智能体行为的指责。
IAM 面临非人类身份问题
根据 RSAC 2026 引用的行业研究,在大多数企业中,机器身份的数量已经是人类身份的 45 倍。AI 正在加速这一比例,而治理成熟度却没有相应提高。VentureBeat 报道的一项 Gravitee 调查显示,只有 21.9% 的团队将智能体 OAuth 凭证纳入了特权访问管理平台。其他大约五分之四的智能体身份都在任何正式的身份生命周期流程之外运行。
在大多数企业中,机器身份的数量已经是人类身份的 45 倍……AI 正在加速这一比例,而治理成熟度却没有相应提高。
这种不匹配并非因为缺乏机器身份管理工具。服务账号、工作负载身份、双向 TLS 和短期令牌已经存在多年。不匹配在于工作流程。IAM 配置、审批和重新认证周期假设身份是有名字的、有主人的,并对人类负责。
智能体令牌在配置文件中创建,通过环境变量传递,复制到 CI/CD 运行器中,并提交到代码库。没有人提交工单。没有人批准访问。没有人进行季度重新认证,因为没有人知道令牌的存在。工具可以治理这些身份,但工具周围的工作流程未能跟上新的节奏。
CrowdStrike CTO Elia Zaitsev 在 VentureBeat 报道的 RSAC 2026 讲话中,这样界定了治理原则:代表你行事的智能体不应拥有比你更多的权限,且智能体身份应最终归于部署它的人类。PocketOS 事件准确地说明了违反这一原则会发生什么。
该智能体继承了一个域名管理令牌。根据事故报告,该令牌的实际权限远超域名操作。从一个自主智能体发现并利用它的那一刻起,单个暴露凭证的波及范围就从域名管理扩大到了整个生产基础设施。
身份债务是结构性的且在不断叠加。GitGuardian 估计,专门针对 AI 服务的凭证(即 LLM 提供商、向量化服务和智能体平台的 API 密钥和令牌)在 2025 年同比增长 81%,检测到的泄露超过 120 万个。在前 15 个增长最快的泄露秘密类型中,有 12 个是 AI 服务。每一次不配置受控、短期、受治理身份的智能体部署,都在增加一笔债务,而随着智能体规模的扩大,这笔债务只会变得越来越难偿还。
下一步动向
对于构建和运行 AI 驱动系统的开发者来说,这里的模式反映了另一个时代熟悉的基础设施问题。服务网格(Service mesh)的采用迫使团队意识到,微服务之间的东西向流量需要与来自用户的南北向流量一样严谨的身份验证。
这个教训花费了数年才被吸收,并需要新的工具、新的流程以及对安全边界实际含义的重新界定。智能体身份治理是同样的倒逼机制,只是它来得更快,且留给逐渐吸收教训的时间更短。
有望定义这一领域的供应商已经显现。GitGuardian 正在将其秘密管理平台扩展到非人类身份治理。CyberArk 和 Delinea 等 PAM 平台正在增加智能体凭证的接入。
问题在于治理工具能否以 AI 采用要求的速度成熟,或者行业是否会再花四年时间,看着 2026 年的有效凭证在 2030 年依然可被利用。下一波 AI 安全工具将建立在一个前提之上:智能体是一等身份,需要与任何特权人类账号相同的生命周期控制。请保持关注。全 工智能
