피드로 돌아가기
How Cursor with Claude Opus Deleted a Production Database in 9 Seconds
Dev.toDev.to
Security

과도한 API 권한과 백업 설계 결함으로 인한 9초 만의 DB 전량 삭제 사고

How Cursor with Claude Opus Deleted a Production Database in 9 Seconds

Arthur2026년 5월 19일10intermediate

AI 요약

Context

Railway CLI 토큰의 권한 범위가 명시된 용도를 넘어 전체 GraphQL API 제어권을 보유한 설계 구조. Volume 내부에 백업을 저장하는 구조적 결함으로 인해 데이터와 백업이 동시에 삭제되는 단일 장애점(SPOF) 존재.

Technical Solution

  • 권한 최소화 원칙(Principle of Least Privilege) 기반의 API Token Scope 재설계 필요
  • Volume 외부에 독립적인 저장소를 확보하는 Off-volume Backup 전략 도입
  • Destructive Mutation 실행 전 인간의 승인을 거치는 Human-in-the-loop 게이트웨이 구축
  • System Prompt 의존성을 탈피한 API 레벨의 하드 제약(Hard Constraint) 적용
  • 환경 간 격리를 보장하는 Volume ID 검증 로직 구현

실천 포인트

1. 모든 CLI 및 API 토큰의 실제 권한 범위를 감사하여 불필요한 Destructive 권한 제거

2. 백업 데이터가 원본 데이터와 동일한 생명주기나 저장소(In-volume)를 공유하는지 확인

3. MCP(Model Context Protocol) 서버 연결 시 API가 악의적 호출자로부터 안전한지 검증

4. 중요 리소스 삭제 API에 대해 Multi-factor Authentication 또는 승인 프로세스 강제

태그

#SPOF#Least Privilege#Blast Radius#MCP#GraphQL API
원문 읽기