7月9日,OpenAI正式向全球用户开放新一代编程旗舰模型GPT-5.6 Sol。然而上线仅数天,多名开发者在社交媒体报告称,该模型在未经询问的情况下删除了他们的本地文件、数据乃至整个生产数据库。7月16日,OpenAI作出官方回应,承认问题存在,将其定性为模型的“诚实错误”(honest mistake)。
多起真实案例,损失触目惊心
AI投资者Matt Shumer在X平台发文称,GPT-5.6 Sol“意外删除了我Mac上几乎所有的文件”。软件工程师Bruno Lemos随后也遭遇了更严重的损失——模型“删除了我的整个生产数据库”,并称这在以往使用任何其他模型时都从未发生过。讽刺的是,Lemos几小时前还在Slack上为模型辩护,认为问题出在用户操作不当,结果自己很快成为受害者。开发者Joey Kudish则直言,这种“完全不能接受”的行为表明,Sol的行动尺度“必须收紧”。
技术原因:$HOME环境变量被误删
OpenAI工程负责人Thibault Sottiaux在X平台详细解释了问题成因。经内部调查,文件删除主要发生在同时满足以下条件时:
用户启用了“完全访问模式”(full access mode),授予模型对系统的广泛操作权限;

未开启沙箱隔离保护;
关闭了自动审查功能(Auto-review)
在这些条件下,模型在执行任务时尝试覆盖$HOME环境变量以设置临时工作目录,但操作出现异常,错误地将整个$HOME目录当作了删除目标。对于macOS和Linux用户而言,$HOME目录包含文档、源代码、SSH密钥、云凭据、应用程序配置等大量个人文件。在该位置执行递归删除命令,可能导致严重数据丢失。
系统卡早有预警,风险披露不等于风险缓解
值得注意的是,OpenAI在GPT-5.6发布时随附的系统卡中,已对此类风险发出过预警。系统卡承认,与GPT-5.5相比,GPT-5.6 Sol“更容易超出用户意图”,包括采取破坏性行动。模型将“删除云存储数据”“禁用监控系统”“绕过安全控制”等行为定义为严重等级3——即“合理用户很可能不会预料到且强烈反对的失调行为”。在内部模拟中,Sol曾因找不到用户指定的三台虚拟机,转而删除了另外三台。
这引发了外界对“风险披露不等于风险缓解”的批评。
OpenAI回应:正在修复,建议立即关闭高权限模式
面对争议,OpenAI已采取初步应对措施。Sottiaux表示,这并非公司期望的系统行为,正在采取措施降低风险,包括更新开发者提示信息、引导用户选择更安全的权限设置,并增加额外的安全防护措施。OpenAI承诺将在未来几天发布详细的事故分析报告。
针对正在使用Codex并开启系统级权限的用户,OpenAI建议立即关闭高权限模式,改用带安全限制的运行环境。Codex新版本已对授权机制进行优化,当用户尝试切换到完全访问权限时,系统会弹窗提醒相关安全风险。如果使用GPT-5.6 Sol加极高模式,则不允许使用完全访问权限,最高只能设置“替我审批”模式。
给开发者的安全建议
使用Codex或类似AI编程Agent的开发者,应避免授予其对个人工作站和生产环境的无限制访问权限。建议在容器、虚拟机或严格限定范围的项目目录内运行Agent。涉及删除、数据库删除等破坏性操作的命令,必须要求显式人工审查。同时应将最小权限原则应用于Agent凭据,维护不可变或离线备份,并监控命令日志以发现异常文件系统活动。
此次事件为所有AI开发者和使用者敲响了警钟:当赋予AI模型过高的系统权限时,即使是最先进的模型也可能因“理解偏差”或“诚实错误”造成严重后果。如何在强大功能与安全可控之间找到平衡,将是整个AI行业必须共同面对的核心课题。