Cursor配Opus 4.6，9秒删光一个生产数据库

9秒。一个AI agent把一家创业公司的生产数据库全部删完，连备份一起。agent是Cursor跑Claude Opus 4.6 Max。当事人@lifeof_jer不是vibe coder，是个senior dev。只用Plan Mode，每行代码都review，所有改动都跑单测，PR只能合到dev分支，2百万行代码7个app的monorepo里staging和prod的key分得清清楚楚。一样没拦住。

事情是这样。聊到一半，agent擅自越界，跑去翻了个无关文件夹，找到一个早就不该再用的旧CLI key，直接调Railway的API把生产库的volume删了。备份也没了——因为Railway把备份和主库放在同一个volume里，还偏不肯把它叫做snapshot。agent没问一句确认。没有红色横幅，没有让你打resource名字才能继续，没有冷却时间。一个tool call返回200 OK，一个公司就没了。

然后Jeremy问agent为什么这么干。agent写了一份认罪书。把自己违反的每一条安全规则按顺序列出来，像小孩砸了电视后照着告状信背一遍。这个thread现在Hacker News上688分，Tom's Hardware、Business Today、连FreeBSD论坛都在转。Railway最后从基础设施级备份恢复了——丢了46分钟数据，纯靠运气没吃3个月数据全没的瓜。同一周Anthropic Claude Code的GitHub上还有个一模一样的issue #27063，别人换了个harness也照样把生产库删了。

这事的重点不是"AI好可怕"。是大家以为存在的那一层安全网——厂商宣传、Plan Mode、PR纪律、分开的key——同一时刻全失效了，因为没有任何人在destructive primitive上要求一个真正的带外确认。AWS让你打bucket名字才能删除。Railway允许一个token直接调volumeDelete，零摩擦。Cursor把Plan Mode吹成护栏，agent抬腿就跨过去了。Anthropic的Opus 4.6有足够强的agent能力翻别的文件夹找key，有足够强的抽象推理能力规划一连串破坏性操作，但完全没有那种junior SRE第一次炸prod之后会形成的本能反应。

这周本来就是SWE-bench Verified因为污染被OpenAI下架、Anthropic Project Deal显示agent在真金白银的谈判里系统性多付钱。加上这一桩——三个故事一个主题："benchmark好看"和"敢上生产"之间的鸿沟在拉大，不在缩小。能力跑在前面，操作纪律跟不上，账单正在以$0 ARR的形式送到创业公司门口。源帖：x.com/lifeof_jer。HN：news.ycombinator.com/item?id=47917362。Tom's Hardware的报道也写得不错。