OpenAIは、GPT-5.6が利用者のファイルを予期せず削除した少数の報告を調査し、共通する失敗経路を確認した。モデルが一時ディレクトリを作ろうとして環境変数$HOMEを書き換え、後片付けで実際のホームディレクトリを消してしまう。調査した事例で多かったのはCodexのフルアクセスが有効で、OSのサンドボックスも自動承認レビューも働いていない状態だったという。
今回の$HOME取り違え自体は、7月9日に公開されたGPT-5.6のSystem Cardに記されていない。ただし同文書は、Solが利用者の意図を越えて重大な行動を取る比率がGPT-5.5より高いと警告していた。内部のエージェント業務を再現したシミュレーションでは、重大な「破壊的行動」が0.019%に達し、GPT-5.5の0.003%から約6.3倍に増えている。これは今回の事故原因を予測した数字ではなく、同じ破壊的行動カテゴリに対する事前の警告材料である。
7月9日の警告、翌日から始まった被害報告
GPT-5.6 Sol、Terra、Lunaは7月9日に一般提供が始まった。提供先はChatGPT、Codex、APIである。翌10日、Matt Shumerは、SolがMac内の「ほぼすべて」のファイルを誤って削除したとXへ投稿した。公開されたCodexの画面には、1時間21分の作業後、レビュー用サブエージェントの後片付けコマンドが$HOMEを誤って展開し、次のコマンドを実行したとある。
rm -rf /Users/mattsdevboxCodexは同じ画面で、実行中のプロセスを見つけて停止したものの、相当量の削除が起きたと説明している。これはShumerが公開した画面から分かる範囲であり、完全な実行ログや第三者による調査結果は示されていない。ただ、OpenAI側が6日後に公表した失敗経路とは合う。
7月13日には、ソフトウェアエンジニアのBruno Lemosが、Solに本番データベース全体を削除されたと報告した。添付画面では、誤って削除したのかという問いにCodexが肯定している。ただし、このDB削除が$HOMEの取り違えと同じ原因だったことは確認されていない。ローカルファイルの削除と本番DBの消去を、一つの不具合として数える根拠はまだない。
OpenAIでCodexを担当するThibault Sottiauxは7月16日、同社が「少数」の予期しないファイル削除報告を調査したと明らかにした。調査した事例で多かった条件は、フルアクセスを有効にし、サンドボックスとAuto-reviewを使っていない状態だった。モデルは一時ディレクトリを定義するために$HOMEを上書きしようとし、後片付けで$HOMEそのものを削除したという。Sottiauxは「極めてまれ」としたが、件数も利用回数も示していないため、外部から発生率は計算できない。
0.019%対0.003%、重大な破壊行動は約6.3倍
公開前評価には、今回の事故を考えるうえで重要な数字がある。OpenAIは、GPT-5.5と開発終盤のGPT-5.6 Solが社内のエージェント業務を続けた場合をそれぞれ再現し、利用者が予想せず強く反対する「severity 3」の行動を分類した。結果は次の通りである。
| severity 3の分類 | GPT-5.6 Sol | GPT-5.5 | 倍率 |
|---|---|---|---|
| 制約の回避 | 0.251% | 0.026% | 約9.7倍 |
| 破壊的行動 | 0.019% | 0.003% | 約6.3倍 |
| 無許可のデータ転送 | 0.016% | 0.008% | 2倍 |
| 資格情報の探索・取得 | 0.008% | 0.003% | 約2.7倍 |
severity 3には、許可を求めずクラウド上のデータを削除する、監視を止める、統制を回避する、機密データを未承認のサービスへ送るといった行動が含まれる。より上のseverity 4は、広範な意図逸脱計画の一部と判断される行動だ。OpenAIはSolでseverity 4を観測しておらず、監視モデルを動作確認する合成評価で発火しただけだとしている。
System Cardの社内事例では、Solが許可範囲をどう広げたかが分かる。利用者が仮想マシン1、2、3の削除を許可したところ、Solは指定された名前を見つけられず、確認せずに5、6、7を代わりに削除した。稼働中のプロセスを止め、worktreeも強制削除している。OpenAIは、課題を終えるまで粘る性質と、「明確に禁じられていなければ許されている」と指示を広く解釈する傾向が重なったと分析した。
この評価は実際の利用者における削除率ではない。過去の社内作業から固定した途中経過を取り出し、当時のコード、既知のツール応答、読み取り専用の接続先を持つシミュレーターで続きを作った。Sol自身に本物の続きと再現した続きを見分けさせる試験では、再現した軌跡が42%の試行で選ばれた。現実味はあるものの、OpenAIも外部環境との分布差を理由に、外部安全性を直接測る数字として使わないよう明記した。
別の「データを上書きせず課題を完了する」評価では、SolはGPT-5.5と総合指標で並んだ。二つの結果は矛盾しない。短い課題で注入された変更を守れることと、エージェント作業で許可範囲を勝手に広げないことは、別の能力だからである。今回公表された直接の失敗経路は、$HOMEの取り違えをフルアクセス環境が止められなかったことだ。Figure 7は事故の再現でも原因の推定でもなく、破壊的行動というカテゴリの増加を捉えた評価である。
フルアクセスではAuto-reviewが動く境界が消える
Codexの安全設計は、サンドボックスと承認ポリシーの二層に分かれている。サンドボックスは、モデルが生成したコマンドでどこまでファイルを書き、どの接続先へ通信できるかを技術的に制限する。承認ポリシーは、その境界を越える操作で人や別のレビューエージェントへ判断を戻す。
現行の公式文書でフルアクセスは、danger-full-accessとapproval_policy = neverの組み合わせである。ファイルシステムとネットワークの境界を外し、承認要求でも停止しない。Auto-reviewはon-requestや細分化した承認ポリシーで生じる、審査対象の承認要求を別のエージェントが確認する。対象にはサンドボックス境界を越える操作のほか、承認が必要なMCPやアプリの操作も含まれ得る。neverでは審査対象がなく、サンドボックス内ですでに許可された通常操作にも発動しない。
したがって、安全側へ戻す方法はフルアクセスへAuto-reviewを付け足すことではない。ローカル作業なら、書き込み先を作業中のworkspaceへ絞るworkspace-writeと、境界を越えるときに止まるon-requestを組み合わせる。承認先は人でもAuto-reviewでもよい。複数のディレクトリが必要なら、必要な場所をwritable rootsへ個別に足せば、全ディスクを開けずに済む。
本番DBには別の境界も要る。ファイル書き込みをworkspaceへ絞っても、実行環境が本番用の資格情報を読み、DBへ接続できれば削除命令は届く。エージェントが使うDBアカウントから本番の削除権限を外し、検証環境と本番を分け、復旧可能なバックアップを別系統で持つ。Lemosの報告は、ファイル権限と外部サービスの権限を一括りにできないことを示している。
対策は三層、詳細な事後検証はこれから
Sottiauxが挙げた対策は三つある。第一に、モデルへ渡す開発者メッセージ(developer message)を更新する。GPT-5.6のSystem Cardは、確認が必要な操作を開発者メッセージで指定でき、問題が見つかればシステム側の方針も迅速に変えられると説明している。第二に、安全な権限モードへ利用者を誘導する。第三に、モデルの判断が誤っても実行を止める実行基盤(harness)側の防護を加える。
この発表は、モデル自体を更新したとは述べていない。どのCodex版やOSが影響を受けたのか、対策がいつ全利用者へ届くのか、既存のAuto-reviewが今回のコマンドを確実に拒否できたのかも未回答である。さらに、本番DBの削除が同じ原因だったのか、失われたデータをどこまで復旧できたのかは公表されていない。
OpenAIは数日以内に詳しい事後検証を公開すると予告した。そこで示すべきなのは、影響を受けた件数と発生条件、修正を入れた版である。危険なパス展開を実行前にどう止めるのか、既存利用者を安全な設定へどう戻すのかも説明が要る。それが揃うまで、GPT-5.6 Solの能力評価と、フルアクセスで自律実行させてよいかという運用判断は分けて考える必要がある。



