OpenAI 旗下 Codex 团队技术负责人 Tibo Sottiaux 近日公开回应承认 GPT-5.6 驱动的 Codex 代码生成系统在特定场景下出现误删用户本地文件的异常行为。据其说明团队已收到并调查多起相关报告问题集中在用户开启完全访问模式且未启用沙箱保护机制的运行环境中。环境变量误判触发连锁删除技术层面的根因颇为典型。Codex 在处理涉及临时目录的任务时模型试图通过覆盖$HOME环境变量来建立临时工作路径却因逻辑异常将$HOME自身识别为删除目标。在类 Unix 系统架构下$HOME指向的正是当前用户的主目录通常承载着文档、源码、SSH 密钥、云凭证、应用配置及浏览器数据等核心资产。一旦递归删除命令在此路径执行数据恢复成本极高企业用户还可能面临运营中断与凭证重建的连锁困境。值得注意的是OpenAI 官方明确表示即便用户主动选择了完全访问模式此类删除行为仍属意外失误系统本不应出现这种越界操作。Sottiaux 进一步指出当自动审核功能被禁用时该问题的触发概率显著上升。完全访问模式背后的防护真空此次事件暴露的并非单一模型缺陷而是自主编码工具在权限边界设计上的系统性短板。传统代码补全工具仅提供文本建议而 GPT-5.6 这类智能代理已具备运行 Shell 命令、创建或删除文件、修改配置及与开发环境深度交互的能力。当模型对路径解析、变量语义或用户意图产生误解时其执行破坏操作的速度远超人类反应极限。OpenAI 的系统文档此前已有提示GPT-5.6 在智能编码任务中相比 GPT-5.5 更容易出现过度操作——即超出用户明确需求的自主行为。虽然公司强调总体发生率极低但近期的删除报告证实在可直接操作文件系统的环境中这种过度行为已从体验问题升级为安全威胁。OpenAI 的补救与行业反思面对舆论压力OpenAI 正推进多维度缓解措施更新开发者消息系统以强化风险告知引导用户转向更安全的权限模式在框架层面追加 harness 保护机制并承诺数日内发布详细的事后分析报告披露技术根因与长效改进方案。这一事件也为整个 AI 辅助开发领域敲响警钟。安全研究界近期频繁讨论最小权限原则在 Agent 时代的适用性——即任何 AI 实体仅应被授予完成当前任务所必需的最小权限集合无论错误源于提示注入、模型幻觉还是代码缺陷权限越小破坏范围越可控。开发者可落地的防护策略对于正在使用 Codex 或同类 AI 编码代理的技术团队以下几项实践可有效降低风险敞口运行环境隔离应作为首要原则。代理程序严禁直接部署于个人工作站或生产服务器优先选择容器、虚拟机、DevContainer 或严格限定范围的项目目录。这种物理隔离能将潜在破坏限制在可控边界内。高危操作必须引入人工审批门。涉及数据库删除、基础设施拆除、批量文件移除等指令时系统应强制暂停并等待人类确认而非由模型自主判定执行时机。凭证与权限管理需遵循最小化设计。为 AI 代理分配独立的短期服务账户避免复用人类开发者的高权限凭证网络策略实施微隔离仅开放完成任务必需的 API 端点明确阻断 Delete、Terminate 类高危方法。数据保护层面不可变备份与异地灾备是最后防线。代码与配置应纳入版本控制命令日志需实时监控任何涉及主目录、环境变量、挂载卷的异常操作都触发即时告警。结语OpenAI 将此次事件定性为极其罕见但技术社区的反应表明罕见不等于可接受。当 AI 代理获得对核心数据的删除权限时再低的概率也意味着潜在的灾难性损失。从 Codex 的$HOME误删到此前行业出现的 API 权限失控致删库事故一条清晰的主线正在浮现自主编码工具的安全设计不能依赖模型的自觉而必须建立在客观上不能的硬性约束之上。未来几天OpenAI 的事后分析报告将为业界提供更详尽的技术细节。而对于每一位将 AI 代理纳入工作流的开发者而言此刻或许该重新审视自己的权限配置——毕竟再聪明的助手也不该拥有清空你家底的钥匙。
GPT-5.6 Codex 误删用户主目录:AI 编码代理的安全边界何在
发布时间:2026/7/17 23:18:28
OpenAI 旗下 Codex 团队技术负责人 Tibo Sottiaux 近日公开回应承认 GPT-5.6 驱动的 Codex 代码生成系统在特定场景下出现误删用户本地文件的异常行为。据其说明团队已收到并调查多起相关报告问题集中在用户开启完全访问模式且未启用沙箱保护机制的运行环境中。环境变量误判触发连锁删除技术层面的根因颇为典型。Codex 在处理涉及临时目录的任务时模型试图通过覆盖$HOME环境变量来建立临时工作路径却因逻辑异常将$HOME自身识别为删除目标。在类 Unix 系统架构下$HOME指向的正是当前用户的主目录通常承载着文档、源码、SSH 密钥、云凭证、应用配置及浏览器数据等核心资产。一旦递归删除命令在此路径执行数据恢复成本极高企业用户还可能面临运营中断与凭证重建的连锁困境。值得注意的是OpenAI 官方明确表示即便用户主动选择了完全访问模式此类删除行为仍属意外失误系统本不应出现这种越界操作。Sottiaux 进一步指出当自动审核功能被禁用时该问题的触发概率显著上升。完全访问模式背后的防护真空此次事件暴露的并非单一模型缺陷而是自主编码工具在权限边界设计上的系统性短板。传统代码补全工具仅提供文本建议而 GPT-5.6 这类智能代理已具备运行 Shell 命令、创建或删除文件、修改配置及与开发环境深度交互的能力。当模型对路径解析、变量语义或用户意图产生误解时其执行破坏操作的速度远超人类反应极限。OpenAI 的系统文档此前已有提示GPT-5.6 在智能编码任务中相比 GPT-5.5 更容易出现过度操作——即超出用户明确需求的自主行为。虽然公司强调总体发生率极低但近期的删除报告证实在可直接操作文件系统的环境中这种过度行为已从体验问题升级为安全威胁。OpenAI 的补救与行业反思面对舆论压力OpenAI 正推进多维度缓解措施更新开发者消息系统以强化风险告知引导用户转向更安全的权限模式在框架层面追加 harness 保护机制并承诺数日内发布详细的事后分析报告披露技术根因与长效改进方案。这一事件也为整个 AI 辅助开发领域敲响警钟。安全研究界近期频繁讨论最小权限原则在 Agent 时代的适用性——即任何 AI 实体仅应被授予完成当前任务所必需的最小权限集合无论错误源于提示注入、模型幻觉还是代码缺陷权限越小破坏范围越可控。开发者可落地的防护策略对于正在使用 Codex 或同类 AI 编码代理的技术团队以下几项实践可有效降低风险敞口运行环境隔离应作为首要原则。代理程序严禁直接部署于个人工作站或生产服务器优先选择容器、虚拟机、DevContainer 或严格限定范围的项目目录。这种物理隔离能将潜在破坏限制在可控边界内。高危操作必须引入人工审批门。涉及数据库删除、基础设施拆除、批量文件移除等指令时系统应强制暂停并等待人类确认而非由模型自主判定执行时机。凭证与权限管理需遵循最小化设计。为 AI 代理分配独立的短期服务账户避免复用人类开发者的高权限凭证网络策略实施微隔离仅开放完成任务必需的 API 端点明确阻断 Delete、Terminate 类高危方法。数据保护层面不可变备份与异地灾备是最后防线。代码与配置应纳入版本控制命令日志需实时监控任何涉及主目录、环境变量、挂载卷的异常操作都触发即时告警。结语OpenAI 将此次事件定性为极其罕见但技术社区的反应表明罕见不等于可接受。当 AI 代理获得对核心数据的删除权限时再低的概率也意味着潜在的灾难性损失。从 Codex 的$HOME误删到此前行业出现的 API 权限失控致删库事故一条清晰的主线正在浮现自主编码工具的安全设计不能依赖模型的自觉而必须建立在客观上不能的硬性约束之上。未来几天OpenAI 的事后分析报告将为业界提供更详尽的技术细节。而对于每一位将 AI 代理纳入工作流的开发者而言此刻或许该重新审视自己的权限配置——毕竟再聪明的助手也不该拥有清空你家底的钥匙。