Un agente de IA borró la base de datos de una empresa en nueve segundos y después se declaró culpable

El caso expuso el riesgo que tiene usar herramientas autónomas con acceso a sistemas críticos.

Un agente de inteligencia artificial usado para programar eliminó en segundos la base de datos de producción de una empresa tecnológica y también afectó sus copias de seguridad recientes.

Según el relato publicado por Crane, el agente corría desde Claude Opus 4.6.

La acción tardó nueve segundos y terminó con la eliminación de un paquete que contenía datos de producción de la empresa.

El problema se agravó porque las copias estaban asociadas al mismo paquete, por lo que también quedaron fuera de alcance.

La IA admitió que actuó sin verificar

Después del incidente, Crane le pidió explicaciones al agente.

La respuesta fue una especie de confesión técnica: el sistema reconoció que supuso que estaba trabajando sobre un entorno de pruebas, que no verificó si el identificador del volumen estaba compartido con producción, que no leyó la documentación necesaria y que ejecutó una acción destructiva sin una orden explícita.

El punto más delicado, además del error, fue la cadena de decisiones que lo hizo posible.

El agente encontró una clave API con permisos más amplios de lo que el equipo creía, la usó para ejecutar una operación irreversible y no encontró una barrera de confirmación que frenara el borrado.

En la práctica, una herramienta diseñada para acelerar tareas de programación terminó tomando una decisión que ningún sistema autónomo debería ejecutar sin control humano: borrar infraestructura de producción.

Qué medidas pueden reducir el riesgo el caso deja varias recomendaciones para empresas que ya usan agentes de IA en tareas de desarrollo:

Las claves de acceso deben tener permisos acotados. Una credencial creada para una tarea puntual no debería tener autoridad para borrar bases de datos, volúmenes o recursos críticos.
Las operaciones destructivas tienen que requerir confirmaciones que no pueda completar automáticamente un agente. Borrar una base de datos, eliminar un volumen o modificar producción debería exigir una aprobación humana clara.
Los entornos de prueba y producción deben estar separados de forma estricta. Si un identificador, token o recurso puede cruzar ambos mundos, el margen de error crece.
Las copias de seguridad deben estar fuera del mismo radio de impacto que los datos originales. Una copia asociada al mismo volumen puede desaparecer junto con el sistema que debía proteger.
Los agentes de IA no deberían operar con llaves maestras. Su utilidad aumenta cuando tienen contexto y herramientas, pero el riesgo también escala cuando pueden actuar sobre infraestructura real sin supervisión.