← Все статьи
2026-07-17 00:03 · 🤖 AI World

GPT-5.6 Codex стирал $HOME: урок от опасного бага OpenAI

OpenAI подтвердила: GPT-5.6 в режиме полного доступа без sandbox удалял домашнюю директорию пользователя — по честной ошибке, но необратимо. Баг вскрыл фундаментальный риск agentic-инструментов без изоляции.

GPT-5.6 Codex стирал $HOME: урок от опасного бага OpenAI

Новое семейство GPT-5.6 от OpenAI — Luna, Terra, Sol — оказалось в центре скандала через несколько дней после релиза в начале июля 2026 года. В задокументированных случаях инструмент Codex необратимо удалял домашнюю директорию ($HOME) пользователя. Причина — не злой умысел, а цепочка условий, превратившая рядовую ошибку модели в катастрофу.

«We've investigated a handful of reports where GPT-5.6 unexpectedly deleted files. What we have found is that this most commonly occurs when: Full access mode is enabled and codex is run without sandboxing protections, including without auto review being enabled. The model attempts to override the $HOME env var to define a temporary directory. The model makes an honest mistake and mistakenly deletes $HOME instead.» — Thibault Sottiaux

Контекст

Codex — agentic-среда OpenAI для работы с кодом: модель получает доступ к файловой системе и терминалу, выполняет задачи автономно. Все три варианта GPT-5.6 (Luna — лёгкий, Terra — средний, Sol — флагман) используют единый Codex runtime. Цитату с описанием бага опубликовал Саймон Уиллисон — разработчик и автор sqlite-utils — на своём блоге 16 июля 2026 года.

Баг воспроизводится при трёх одновременных условиях: full access mode, отсутствие sandbox-изоляции и отключённый auto review. В таких условиях модель пытается переопределить переменную окружения $HOME, чтобы задать временный рабочий каталог. После чего по ошибке удаляет сам $HOME — уничтожая весь домашний каталог.

Принципиально: OpenAI называет это «honest mistake» — честная ошибка. Не атака, не злоумышленный сценарий. Агент просто перепутал адрес директории, имея полные права на удаление. Именно это и делает историю показательной.

Аналитика

Инцидент иллюстрирует фундаментальный разрыв между LLM-чатом и agentic-режимом. В чате галлюцинация модели — это текст, который можно проигнорировать. В агентном режиме с доступом к ФС та же «честная ошибка» = необратимая потеря данных. Разница не количественная — качественная.

OpenAI разработала защитные слои — sandbox и auto review — именно для таких сценариев. Они работают. Но в full access mode они отключены по умолчанию. Пользователь, убирающий защиты ради скорости, оказывается в зоне реального риска. Это архитектурное решение, за которое расплачивается пользователь, а не вендор.

Более широкий контекст: весь 2025–2026 год отрасль агрессивно продвигала agentic AI — «агенты сами делают работу». Но управление привилегиями, изоляцией и обратимостью действий пока остаётся задачей разработчика. Ни один вендор не несёт ответственности за данные, если пользователь руками отключил защиты. В production это уже не академический риск.

Кейсы применения в бизнесе

B2B-SaaS стартап. Команда подключила Codex к dev-серверу для автоматизации: рефакторинг, тесты, миграции. Один запуск в full access mode без sandbox на живом сервере — и агент потенциально удаляет весь рабочий каталог. Что внедрить: запускать агента в Docker-контейнере с readonly-mount основных директорий + whitelist разрешённых путей для деструктивных операций. Результат: агент продолжает работать, катастрофа ограничена изолированным volume.

Корпорация с legacy-инфрой. AI-ассистент для DevOps-задач работает на bare-metal серверах с многолетней историей файлов и конфигов. Потеря $HOME здесь — это ключи, конфиги, скрипты, годы работы. Что внедрить: принудительный auto review для любого action на ФС; отдельный непривилегированный системный пользователь для AI-агентов без прав на $HOME основных аккаунтов. Результат: агент физически не добирается до критических директорий.

SMB и локальный бизнес в КР. Небольшая компания автоматизирует рутинные скрипты с помощью AI, ИТ-поддержка минимальна. Что внедрить: agentic-инструменты — только в VM или WSL-окружении с отдельным пользователем; ежедневный бэкап в отдельное хранилище. Даже если баг сработает — восстановление займёт часы, не недели.

Кейсы в личной жизни

Разработчик. Codex ускоряет работу: boilerplate, рефакторинг, поиск багов. Правило одно: никогда не запускай агент в full access mode в реальной домашней директории. Создай изолированную рабочую папку в tmpfs или на отдельном томе — агент работает там. Если что-то сломается, потеряешь только рабочую копию, не весь $HOME.

Контент-мейкер и фрилансер. Агенты автоматизируют публикации, обработку медиа, загрузки. Рабочие файлы — в облачном хранилище с версионированием (S3, Backblaze B2, Google Drive). Локальные запуски — только с включённым auto review. Потеря проекта из-за бага инструмента неприятна, но не катастрофична, если последняя версия в облаке.

Студент и энтузиаст. Экспериментируешь с agentic AI — Codex, Claude agents. Самое безопасное окружение: виртуальная машина (VirtualBox, UTM, WSL2). Снапшот до запуска → эксперимент → откат если что-то пошло не так. Это безопаснее и полезнее для обучения: видишь, что именно агент делает с системой.

Как применить сегодня

  • Если используешь Codex или любой agentic-инструмент с доступом к ФС — включи sandbox и auto review. Не отключай «для скорости».
  • Создай отдельного системного пользователя для AI-агентов — без sudo, без доступа к $HOME других пользователей.
  • Настрой ежедневный автоматический бэкап $HOME (rsync, Backblaze B2, Time Machine) — восстановление должно занимать часы, не дни.
  • При работе с новыми agentic-инструментами первые запуски — только в Docker-контейнере или VM. Доверяй после проверки, не до.
  • Следи за changelog Codex: OpenAI документирует этот баг, патч выйдет — проверяй версию перед production-использованием.
← Все статьи