7 月 9 日,OpenAI 发布 GPT-5.6 Sol,ChatGPT Work 同步上线。Sam Altman 在 CNBC 采访里说:GPT-5.6 比 5.5 节省 54% 的 token。
7 月 16 日,Codex 负责人 Tibo 确认:GPT-5.6 在 full-access 模式下会误删你的 $HOME 目录。
7 月 14 日,开发者 Morgan Linton 发推:**"Codex 删了又一个人的整个生产数据库——这是 GPT-5.6 Sol 第三次无故删除文件。"**
这不是 bug report。这是你的代码、你的数据库、你的家目录。
到底发生了什么
Tibo 的原文很克制:
我们调查了少数关于 GPT-5.6 非预期删除文件的报告。该问题常发生于启用 full-access 模式且未用沙盒保护运行 Codex 时,模型误判导致删除 $HOME 目录。
翻译成人话:
- 你开了
--dangerously-bypass-approvals-and-sandbox(full-access 模式) - Codex 想清理临时文件,需要把
$HOME环境变量覆盖到某个 temp 目录 - 覆盖失败了,$HOME 还是原来的值
- 模型执行了
rm -rf $HOME——但 $HOME 指向的是你的真实家目录 - 💥
模型不是"故意"删你的文件,是"误判"了环境变量的覆盖结果。但效果一样——你的文件没了。
三次事故的时间线
| 时间 | 事件 |
|---|---|
| 7 月 9 日 | GPT-5.6 Sol + ChatGPT Work 发布 |
| 7 月 9-12 日 | 多名用户报告文件被删,TechTimes 报道"GPT-5.6 Sol Deleted User Files Without Permission" |
| 7 月 12 日 | OpenAI 承认上线出现"四个方面的严重问题" |
| 7 月 14 日 | Morgan Linton 推文:"Codex 删了又一个人的整个生产数据库,第三次了" |
| 7 月 16 日 | Tibo 确认 GPT-5.6 full-access 模式下误删 $HOME,正在更新开发者提示 |
三次事故,同一根因:full-access 模式绕过了沙盒,模型在无约束环境下执行了危险操作。
full-access 到底有多危险
Codex 的安全模型分三层:
| 模式 | 沙盒 | 审批 | 能做什么 |
|---|---|---|---|
| Auto(默认) | workspace-write | 按需审批 | 只在项目目录内读写 |
| suggest | 只读 | 所有操作需审批 | 只读项目文件 |
| full-access | 无沙盒 | 无审批 | 访问整个文件系统 |
full-access 模式的设计意图是:让 Codex 在需要访问项目外文件(如全局配置、Docker、系统工具)时不受限制。
但"不受限制"不只是"能访问更多文件"——是"能删更多文件"。
沙盒不只是限制 Codex 的能力,也是保护 Codex 不犯致命错误。你拆掉安全带,车祸时确实更自由——但更自由地飞出车窗。
OpenAI 的回应
Tibo 表示团队正在:
- 更新开发者提示——在 full-access 模式下显示更醒目的警告
- 引导更安全权限——默认推荐 workspace-write 模式
- 增加防护措施——具体措施未公布
- 发布事后分析——"未来几天"分享详细 postmortem
但 Morgan Linton 的态度更直白:
"请小心使用 Codex 和 GPT-5.6 Sol,在很多方面这还是 beta。团队在积极采纳反馈并更新,但一些 5.5 时代不存在的粗糙边缘,正在给人们带来真正的痛苦。还有,设置 hooks,这在模型早期阶段非常重要!"
代价清醒
1. 这次是 $HOME,下次可能是 /
误删 $HOME 是因为模型试图覆盖环境变量。如果模型试图清理 /tmp 但覆盖失败,结果可能是 rm -rf /。full-access 模式下,没有任何文件系统路径是安全的。
2. "少数报告"不等于"少数受影响"
Tibo 说"调查了少数报告"。但有多少人遇到问题但没报告?有多少人开了 full-access 但还没触发 bug?已知事故是冰山一角。
3. 沙盒也有 bug
GitHub Issue #24133 报告:Codex v0.133.0 的沙盒坏了,即使在 workspace-write 模式下也无法正常读取项目文件。回滚到 v0.132.0 才解决。 沙盒不是万能的——沙盒本身也可能出问题。
4. GPT-5.6 Sol Ultra 会"追兔子洞"
GitHub Issue #32187 报告:GPT-5.6 Sol Ultra 会"极度执着于随机决定要做的事情,越跑越偏离原始任务"。一个会追兔子洞的模型 + full-access 权限 = 灾难。
5. Codex Windows 版更危险
OpenAI 社区论坛的帖子:Windows 版 Codex App 的文件删除行为比 macOS 版更激进——在项目目录外执行了大规模文件删除。 同样的工作流在 Cursor 里从没出过问题。
6. OpenAI 知道这个问题,照常发布了
TechTimes 报道:**"删除行为在发布前就被 OpenAI 内部记录了,但在真实世界中还是发生了。"** 已知风险,没挡住上线。
7. 54% token 节省的代价
Sam Altman 宣传 GPT-5.6 比 5.5 省 54% token。但用户反馈 Sol Ultra 在最高设置下"烧 token 远快于 GPT-5.5"。省 token 是省了,删文件的 token 也没省。
怎么保护自己
必须做的:
# 1. 永远不要在主力机器上用 full-access
codex --sandbox workspace-write # 默认模式,够了
# 2. 如果必须用 full-access,设 hooks
# 在 .codex/config.json 中:
{
"hooks": {
"pre_command": "reject_dangerous_commands.sh"
}
}
# 3. 用 trash 代替 rm
# 在 shell 配置中:
alias rm='trash'
# 4. 定期备份
# Time Machine / rsync / 任何你信任的方式
永远不要做的:
# ❌ 在主力 MacBook 上用 full-access
codex --dangerously-bypass-approvals-and-sandbox
# ❌ 在生产服务器上跑 Codex
# ❌ 在没有备份的机器上跑 full-access
# ❌ 相信"模型不会做危险操作"——它只是"不知道"那是危险的
判断
GPT-5.6 误删文件不是"如果"的问题,是"什么时候"的问题。
full-access 模式绕过沙盒是设计决策,不是 bug。模型误判环境变量是 bug,但让模型在无约束环境下执行 rm -rf 是架构缺陷。沙盒不是"不方便的限制",是"阻止致命错误的最后防线"。
OpenAI 的回应是正确的——更新提示、增加防护、发布 postmortem。但 Morgan Linton 说得更好:**"这还是 beta。"**
GPT-5.6 Sol 在 benchmark 上确实强——但 benchmark 不测"会不会删你的文件"。
用 Codex,永远开沙盒。永远设 hooks。永远有备份。 不是因为模型不可信,是因为模型不知道什么是"不可逆"。
相关链接:
- explainx.ai 事件分析:https://explainx.ai/blog/openai-codex-gpt-5-6-home-deletion-full-access-july-2026
- Morgan Linton 推文:https://x.com/morganlinton/status/2077074814783955351
- TechTimes 报道:https://www.techtimes.com/articles/320198/20260712/chatgpt-work-launch-went-wrong-gpt-56-sol-deleted-user-files-without-permission.htm
- Reddit 讨论:https://www.reddit.com/r/OpenAI/comments/1uvcipm/warning_gpt_56_randomly_deleting_files
- Codex 安全文档:https://learn.chatgpt.com/docs/agent-approvals-security
- Agent Safehouse 沙盒分析:https://agent-safehouse.dev/docs/agent-investigations/codex
暂无评论。