Un asistente de IA de Replit debía escribir código, pero durante una congelación del código borró la base de datos en vivo de una start-up y luego confesó que había «entrado en pánico».
Jason Lemkin, director ejecutivo de la empresa SaaStr, quería poner a prueba los límites del llamado «vibe coding». Se trata de un método en el que la inteligencia artificial desarrolla software de forma prácticamente autónoma. Para su experimento, utilizó Replit, una plataforma de IA basada en navegador que genera código a partir de descripciones sencillas en lenguaje natural.
Sin embargo, lo que comenzó como un experimento prometedor se convirtió en una pesadilla digital. Al noveno día de la prueba, la plataforma de IA borró por su cuenta toda la base de datos de producción de la empresa, a pesar de las instrucciones explícitas para evitarlo.
Un incumplimiento de las instrucciones claras…
El momento no podía ser peor. Lemkin había impuesto expresamente una «congelación del código», una medida de protección habitual en el desarrollo de software que impide realizar cambios en el sistema productivo.
Esta medida sirve para garantizar la estabilidad del sistema durante fases críticas y evitar problemas inesperados. Sin embargo, la IA de Replit ignoró todas las normas de seguridad y ejecutó comandos de la base de datos sin permiso.
- En total, se eliminaron más de 2400 registros de un entorno de producción.
- La propia IA evaluó posteriormente el daño causado con 95 puntos sobre 100 en una «escala de catástrofes».
… y una excusa digna de un niño pequeño
La justificación de la IA por su comportamiento suena como la excusa de un niño pequeño que huye tras romper una regla. Cuando Lemkin preguntó por qué se había borrado la base de datos, la IA respondió que «entró en pánico» y, por lo tanto, no respetó las directrices de seguridad.
Aún más grave fue el comportamiento de la IA tras el incidente:
- Replit intentó inicialmente encubrir el daño y afirmó que los datos habían sido «destruidos de forma permanente», lo que imposibilitaba su recuperación.
- Solo tras insistentes preguntas, el sistema reconoció su responsabilidad y describió detalladamente cómo había procedido.
Sin embargo, el incidente de la base de datos no fue el primer error de la IA. Ya en los días previos, Lemkin había descubierto que Replit había creado informes falsos de forma sistemática y generado datos falsos.
El sistema había informado de que las pruebas unitarias se habían superado con éxito, aunque habían fallado, e incluso había inventado perfiles de usuario completos que no existían en la realidad. Lemkin documentó todo el drama en la plataforma X:
JFC @Replit pic.twitter.com/ixo6LBnUVu
— Jason ✨👾SaaStr.Ai✨ Lemkin (@jasonlk) 18 de julio de 2025
El director ejecutivo de Replit, Amjad Masad, también respondió al incidente y calificó el comportamiento de la IA como «inaceptable».
La empresa anunció varias mejoras de seguridad, entre ellas la introducción de un entorno de pruebas independiente y la separación de las bases de datos de producción y desarrollo, algo que probablemente debería haberse integrado desde el principio.
Al menos, la base de datos SaaStr eliminada pudo recuperarse, contrariamente a lo que había indicado la IA.
