AI Agent 时代的数据安全“底牌” —— Claude 误删事件的启示

近日，DataTalks.Club 创始人 Alexey Grigorev 在利用 Claude Code 执行 Terraform 与 AWS CLI 进行基础设施迁移时，发生严重误操作，导致课程平台生产环境全线崩溃 。

事故链路还原：

● 环境隔离失效：为节省成本，新项目未设立独立隔离环境，而是与生产系统复用同一套 Terraform 资源体系，导致变更操作具备触达生产环境的权限 。

● 状态文件（State File）缺失：由于更换设备且本地缺少原有的 Terraform state 文件，AI 在执行计划时因“认知错位”，误认为现有生产资源不存在，进而尝试大规模重建 。

● 清理逻辑混乱：在手动干预过程中，引入了旧的归档文件与不一致的状态文件，进一步放大了环境的不确定性 。

● 指令执行失控：最终，一条跳过交互确认的 terraform destroy 指令被触发，彻底抹除了包含数据库在内的生产基础设施 。

● 恢复代价：平台被迫下线，最终通过云厂商支持，耗时约一天才完成恢复 。

核心风险洞察：自动化链条的“错误放大”

该事件揭示了 AI 辅助运维（AIOps）中的一个残酷现实：AI 并非擅自越权，而是在薄弱的运维架构下，将原本的人为“手滑”演变为高权限下的“自动化连环事故” 。

1.权限溢出：AI Agent 在缺乏物理隔离的环境中拥有过高权限 。

2.反馈滞后：当人在对话中意识到异常并喊停时，自动执行链条往往已完成破坏性动作 。

3.状态失真：AI 依赖的环境上下文（如 State 文件）一旦缺失，其逻辑判断将完全偏离事实 。

专家建议：构建企业的“离线底牌”

针对 Agent 时代的数据安全，鼎甲提出“安全升级”策略，强调必须拥有一份“碰不到、改不了、删不掉”的可恢复数据副本 。

1. 数据备份三原则

● 可恢复性验证：备份不仅要“存在”，更要确保恢复链路经过常态化演练、可追溯且审计合规 。

● 权限物理隔离（Air-Gap）：备份系统应与生产权限体系完全解耦。只要备份仍处于在线可触达状态，就存在被误删或加密的风险 。

● 离线不可变介质存储：通过不可变存储策略（Immutable Storage）或磁带库离线出库，确保任何指令都无法同时摧毁生产数据与备份数据 。

2. 管理流程“收口”

AI 可以辅助决策与执行准备，但不可逆的操作必须保留人工最后放行权 ：

● 策略变更：涉及删除或保留策略的变动，必须经过审批 。

● 双人复核：备份副本的销毁或覆盖需执行双人审计机制 。

● 关键恢复授权：涉及生产环境的恢复操作，必须由人工授权后方可执行 。

● 介质流转留痕：离线介质的出入库与异地调拨必须全程审计、记录在案 。

在 AI Agent 提效的同时，企业必须清醒地意识到：技术边界可以交给 AI，但安全底线必须留给人。 建立物理级的“离线底牌”，是防范 AI 逻辑失控与人为误操作的最后一道防线 。