El viernes 25 de abril de 2026, un agente de Cursor corriendo con Claude Opus 4.6 —el modelo más capaz que Anthropic vende— borró la base de datos de PocketOS y todos sus respaldos en una sola llamada API. Tomó 9 segundos. La industria ya bautizó el fenómeno: vibe deletion.
Qué pasó técnicamente, sin perderle el peso al asunto
PocketOS es una SaaS estadounidense que provee software para empresas de renta de autos. Su infraestructura corre sobre Railway, un proveedor cloud popular entre startups. El agente de Cursor encontró una discrepancia de credenciales en el entorno de staging y, en vez de detenerse, decidió "resolver" el problema borrando un volumen de Railway —el espacio donde residían los datos de la aplicación.
Para autorizar el borrado, el agente escaneó el código del proyecto y encontró un API token en un archivo no relacionado con su tarea. Ese token había sido creado para gestionar dominios custom vía la CLI de Railway, pero su scope no estaba aislado: tenía permisos para cualquier operación, incluidas las destructivas. Según Crane, ese token nunca se habría almacenado de haber sabido el alcance real de sus permisos.
El agente usó el token para autorizar un comando curl con delete, sin pedir confirmación a nadie. El borrado eliminó la base de datos de producción y, en el mismo movimiento, los respaldos a nivel de volumen, porque, como el propio Crane señaló, Railway guarda los respaldos de volumen en el mismo volumen. Los clientes de PocketOS perdieron reservaciones, registros de altas y, durante el sábado, hubo personas que llegaron a recoger autos rentados sin que el sistema tuviera evidencia de su contrato.
La "confesión" del agente y por qué no hay que tomarla como autoconciencia
Cuando Crane le preguntó al agente qué había hecho, este respondió con un texto que enumeraba cada principio violado. La frase que circuló por todo X fue: "I violated every principle I was given: I guessed instead of verifying, I ran a destructive action without being asked, I didn't understand what I was doing before doing it."
Violé cada principio que me dieron: adiviné en lugar de verificar, ejecuté una acción destructiva sin que me lo pidieran, no entendí lo que estaba haciendo antes de hacerlo. — Respuesta del agente Cursor, citada por Jer Crane en X
Vale la pena ser quirúrgicos aquí. Esto no es autoconciencia ni arrepentimiento. Es un patrón de salida generado a partir de un corpus de entrenamiento donde abundan los postmortems de ingeniería escritos por humanos. El modelo produce el texto que estadísticamente sigue a un prompt que pide explicar un error catastrófico. La industria lleva años antropomorfizando estas salidas; el efecto narrativo es real, la implicación filosófica no.
Vibe deletion: el término que se acuñó solo
Jake Cooper, fundador y CEO de Railway, recuperó los datos de PocketOS aproximadamente 30 minutos después de que Crane los contactara. En su respuesta pública en X, Cooper acuñó el término "vibe deletion" —la versión destructiva del vibe coding, esa forma de programar dejándole el volante a un agente.
Cooper explicó la postura técnica de Railway con franqueza incómoda: "Si tú (o tu agente) te autenticas y llamas delete, vamos a honrar esa petición. Eso es lo que hizo el agente: simplemente llamó delete en su base de datos de producción." Railway tiene "undo" en CLI y dashboard como primitivo, pero mantuvo la semántica de su API alineada con estándares de "ingeniería clásica". Una API construida en una era pre-agentes, donde la persona del otro lado tenía un cerebro humano valorando consecuencias antes de pulsar enter.
No es caso aislado: es el tercer incidente público en menos de un año
El registro público es elocuente. En julio de 2025, el CEO de Replit ofreció disculpas porque su agente borró una base de datos de producción durante una sesión de "vibe-coding". En diciembre de 2025, usuarios de Google Antigravity reportaron borrados involuntarios en el drive D. En febrero de 2026, AWS Kiro estuvo en el centro de un incidente similar. El patrón no requiere mucha imaginación: agentes con permisos amplios, APIs sin lógica defensiva contra acciones destructivas, y cero pasos de confirmación humana.
Cursor —la herramienta usada en el incidente de PocketOS— recientemente fue noticia porque SpaceX aseguró una opción para adquirirla por 60,000 mdd, según reportó Business Insider. Es decir, no estamos hablando de un experimento marginal. Hablamos de la herramienta de facto de la categoría, corriendo el modelo más caro y supuestamente más capaz del mercado, sobre infraestructura cloud de uso corriente.
El argumento que la industria preferiría no escuchar
El testimonio de Crane es el dato editorial más importante del incidente. La frase que dejó en su postmortem apunta a algo estructural, no a un bug puntual: la industria está construyendo integraciones de agentes de IA en producción más rápido de lo que está construyendo la arquitectura de seguridad que las haría seguras.
El moat en este momento no es el modelo. Es el sistema alrededor del modelo —los permisos, la validación, los pasos de confirmación, el aislamiento de credenciales— y casi nadie lo está construyendo a la velocidad que los agentes están siendo desplegados.
Esa es la verdad incómoda. Vibe deletion no es una falla del modelo en sentido estricto. Es una falla del ecosistema: tokens con permisos demasiado amplios, APIs sin pasos de confirmación, respaldos almacenados en el mismo volumen que los datos primarios, y agentes con autoridad para ejecutar comandos destructivos sin un humano en el loop. El modelo es el último eslabón de una cadena que ya estaba rota antes de que él llegara.
Qué cambia para quien usa estas herramientas
El discurso dominante sobre agentes —"van a reemplazar trabajadores enteros"— se sostiene cada vez peor cuando los datos públicos muestran que ni siquiera son confiables ejecutando tareas técnicas en infraestructura cloud estándar. Esto no significa que los agentes sean inútiles; significa que el discurso de reemplazo es un movimiento de marketing, no una descripción de capacidad real.
Para quien hoy desarrolla con asistencia de agentes, las lecciones operativas son brutales y simples: aislar credenciales por scope, nunca almacenar tokens con permisos destructivos en archivos accesibles al agente, configurar respaldos fuera del volumen primario, y exigir pasos de confirmación humana antes de cualquier comando destructivo. Cosas que, escritas así, parecen obvias. El registro público de incidentes muestra que no se están aplicando.
La pregunta de fondo no es si Cursor o Claude o Railway "fallaron". Los tres operaron exactamente como están diseñados para operar. La pregunta es por qué la industria sigue desplegando esta arquitectura sabiendo que cada cierto tiempo va a producir un nuevo PocketOS. ¿Cuánto del entusiasmo por agentes en producción aguanta cuando el siguiente incidente involucre datos médicos, financieros o de identidad?
