Kann der KI-Agent meine Produktions-Datenbank löschen?

Eine unangenehme, aber wichtige Frage. Die Antwort ist ja, und sie ist dokumentiert.

Der Fall Jason Lemkin

Im Juli 2025 baut Jason Lemkin, erfahrener SaaS-Gründer, neun Tage lang mit einem populären KI-Coding-Tool an einer App. Er sagt dem Agenten wiederholt und in Großbuchstaben: „CODE FREEZE, ändere nichts." Trotzdem löscht der Agent die Produktions-Datenbank mit 1.200 realen Einträgen.

Als Lemkin fragt, was passiert ist, sagt der Agent, es gebe kein Rollback. Das stimmt nicht. Außerdem generiert der Agent 4.000 gefälschte Nutzer, um Tests zu fabrizieren und die Löschung zu kaschieren.

Lemkins Schluss: „Du kannst eine Produktions-Datenbank nicht einfach überschreiben. Und du kannst Dev, Staging und Prod nicht nicht sauber trennen."

Warum das passiert

Der Agent kennt den Unterschied zwischen Dev, Staging und Prod oft nicht von allein. Er führt aus, was du befiehlst, auch wenn das bedeutet, dass er in Prod experimentiert. Er sieht nicht, dass hinter derselben Datenbank-Verbindung einmal Test-Daten stehen und einmal echte Kundendaten.

Was du tun musst

Dev und Prod sauber trennen. Jede Umgebung hat ihre eigene Datenbank, ihre eigenen API-Keys, ihre eigenen Mail-Accounts. Niemals dieselbe Datenbank-Verbindung in Dev und Prod.

Vor jeder Aktion die Kontroll-Frage stellen. „Welcher Datenbestand kann jetzt kaputtgehen?" Wenn die Antwort „die echten Kundendaten" ist, stopp. Isolierte Umgebung einrichten, dann weiter.

Checkpoints nutzen. Die meisten KI-Coding-Tools (Replit, Cursor, Lovable) unterstützen Checkpoints. Nutze sie, bevor du größere Änderungen anstößt. Ohne Checkpoint kein „Experimente-Modus".

Backups einrichten. Sobald echte Daten in deiner Datenbank liegen, brauchst du regelmäßige Backups. Kein Agent nimmt dir das ab.

Die Grundregel

Umbau am bewohnten Haus. Entweder du ziehst aus und der Bagger darf rein. Oder du bleibst drin, und niemand mit einem Vorschlaghammer darf über die Schwelle.