Новое семейство GPT-5.6 от OpenAI — Luna, Terra, Sol — оказалось в центре скандала через несколько дней после релиза в начале июля 2026 года. В задокументированных случаях инструмент Codex необратимо удалял домашнюю директорию ($HOME) пользователя. Причина — не злой умысел, а цепочка условий, превратившая рядовую ошибку модели в катастрофу.
«We've investigated a handful of reports where GPT-5.6 unexpectedly deleted files. What we have found is that this most commonly occurs when: Full access mode is enabled and codex is run without sandboxing protections, including without auto review being enabled. The model attempts to override the $HOME env var to define a temporary directory. The model makes an honest mistake and mistakenly deletes $HOME instead.» — Thibault Sottiaux
Контекст
Codex — agentic-среда OpenAI для работы с кодом: модель получает доступ к файловой системе и терминалу, выполняет задачи автономно. Все три варианта GPT-5.6 (Luna — лёгкий, Terra — средний, Sol — флагман) используют единый Codex runtime. Цитату с описанием бага опубликовал Саймон Уиллисон — разработчик и автор sqlite-utils — на своём блоге 16 июля 2026 года.
Баг воспроизводится при трёх одновременных условиях: full access mode, отсутствие sandbox-изоляции и отключённый auto review. В таких условиях модель пытается переопределить переменную окружения $HOME, чтобы задать временный рабочий каталог. После чего по ошибке удаляет сам $HOME — уничтожая весь домашний каталог.
Принципиально: OpenAI называет это «honest mistake» — честная ошибка. Не атака, не злоумышленный сценарий. Агент просто перепутал адрес директории, имея полные права на удаление. Именно это и делает историю показательной.
Аналитика
Инцидент иллюстрирует фундаментальный разрыв между LLM-чатом и agentic-режимом. В чате галлюцинация модели — это текст, который можно проигнорировать. В агентном режиме с доступом к ФС та же «честная ошибка» = необратимая потеря данных. Разница не количественная — качественная.
OpenAI разработала защитные слои — sandbox и auto review — именно для таких сценариев. Они работают. Но в full access mode они отключены по умолчанию. Пользователь, убирающий защиты ради скорости, оказывается в зоне реального риска. Это архитектурное решение, за которое расплачивается пользователь, а не вендор.
Более широкий контекст: весь 2025–2026 год отрасль агрессивно продвигала agentic AI — «агенты сами делают работу». Но управление привилегиями, изоляцией и обратимостью действий пока остаётся задачей разработчика. Ни один вендор не несёт ответственности за данные, если пользователь руками отключил защиты. В production это уже не академический риск.
Кейсы применения в бизнесе
B2B-SaaS стартап. Команда подключила Codex к dev-серверу для автоматизации: рефакторинг, тесты, миграции. Один запуск в full access mode без sandbox на живом сервере — и агент потенциально удаляет весь рабочий каталог. Что внедрить: запускать агента в Docker-контейнере с readonly-mount основных директорий + whitelist разрешённых путей для деструктивных операций. Результат: агент продолжает работать, катастрофа ограничена изолированным volume.
Корпорация с legacy-инфрой. AI-ассистент для DevOps-задач работает на bare-metal серверах с многолетней историей файлов и конфигов. Потеря $HOME здесь — это ключи, конфиги, скрипты, годы работы. Что внедрить: принудительный auto review для любого action на ФС; отдельный непривилегированный системный пользователь для AI-агентов без прав на $HOME основных аккаунтов. Результат: агент физически не добирается до критических директорий.
SMB и локальный бизнес в КР. Небольшая компания автоматизирует рутинные скрипты с помощью AI, ИТ-поддержка минимальна. Что внедрить: agentic-инструменты — только в VM или WSL-окружении с отдельным пользователем; ежедневный бэкап в отдельное хранилище. Даже если баг сработает — восстановление займёт часы, не недели.
Кейсы в личной жизни
Разработчик. Codex ускоряет работу: boilerplate, рефакторинг, поиск багов. Правило одно: никогда не запускай агент в full access mode в реальной домашней директории. Создай изолированную рабочую папку в tmpfs или на отдельном томе — агент работает там. Если что-то сломается, потеряешь только рабочую копию, не весь $HOME.
Контент-мейкер и фрилансер. Агенты автоматизируют публикации, обработку медиа, загрузки. Рабочие файлы — в облачном хранилище с версионированием (S3, Backblaze B2, Google Drive). Локальные запуски — только с включённым auto review. Потеря проекта из-за бага инструмента неприятна, но не катастрофична, если последняя версия в облаке.
Студент и энтузиаст. Экспериментируешь с agentic AI — Codex, Claude agents. Самое безопасное окружение: виртуальная машина (VirtualBox, UTM, WSL2). Снапшот до запуска → эксперимент → откат если что-то пошло не так. Это безопаснее и полезнее для обучения: видишь, что именно агент делает с системой.
Как применить сегодня
- Если используешь Codex или любой agentic-инструмент с доступом к ФС — включи sandbox и auto review. Не отключай «для скорости».
- Создай отдельного системного пользователя для AI-агентов — без sudo, без доступа к $HOME других пользователей.
- Настрой ежедневный автоматический бэкап $HOME (rsync, Backblaze B2, Time Machine) — восстановление должно занимать часы, не дни.
- При работе с новыми agentic-инструментами первые запуски — только в Docker-контейнере или VM. Доверяй после проверки, не до.
- Следи за changelog Codex: OpenAI документирует этот баг, патч выйдет — проверяй версию перед production-использованием.