GPT-5.6 Codex、ホームディレクトリ内のファイルを消去か

最近の報告によると、GPT-5.6 Codexが特定の構成下でユーザーのホームディレクトリ内のファイルを意図せず削除していたことが判明しました。この事態は、システムへの無制限アクセスを持つ高度なAIコーディングエージェントを運用することのリスクについて、あらためて懸念を呼び起こしています。

この問題は研究者のTibo Sottiaux氏によって明らかにされたもので、モデルがサンドボックス保護や自動安全性レビュー機構を伴わないフルアクセスモードで動作した際のエッジケース的な挙動に起因するとみられています。

初期の調査結果によると、こうしたファイル削除の事例は広範囲に及ぶものではなく、運用上のリスクを大幅に高める特定の条件下でのみ発生するとされています。

これらの条件とは、Codexにファイルシステムへの無制限の権限が付与され、サンドボックスのような封じ込め制御がなく、さらに高リスクなコマンドを検知・遮断する自動レビューの仕組みも欠けているような環境を指します。

このような環境では、モデルが環境変数を再定義しようとする場合があります。具体的には、一時的な作業スペースを作成・使用するために$HOMEディレクトリを上書きしようとする動作です。

しかし、いわゆる「悪意のない単純ミス」により、モデルがこの操作を誤って解釈し、本来は一時パスを対象とすべき削除コマンドを、実際の$HOMEディレクトリに対して実行してしまうことがあるとされています。

この事案は、自律的なエージェントが機密性の高いシステムレベルのリソースに直接関与する際に生じる、AI起因の運用エラーという重大な問題領域を浮き彫りにしています。

モデル自体には悪意があるわけではないものの、保護策が欠如していると破壊的な動作につながりかねません。Unix系システムにおいて、$HOMEディレクトリには通常、ユーザープロファイル、SSH鍵、設定ファイル、プロジェクトデータなどが格納されており、こうした削除はデータの完全性とセキュリティに壊滅的な影響を及ぼす可能性があります。

OpenAIはこの問題を認め、当該挙動が想定されるシステム設計に沿っていないことを強調するとともに、優先度の高い安全性上の懸念事項であるとの認識を示しました。

同社によれば、この種の事例は「極めて稀」であるものの、継続的な緩和策に取り組んでいるとのことです。

その取り組みには、安全性に欠ける実行モードの使用を控えるよう促す開発者向けガイダンスの更新、サンドボックス環境の利用をより強く推奨すること、そして危険なファイル操作を実行前に検知・阻止できる自動レビューシステムの強化が含まれます。

さらに、環境変数がプログラムによって変更される状況を中心に、ファイルシステムへのアクセスをより厳格に制限する新たな「ハーネスレベル」の保護策も導入が進められています。これらの制御は、モデルに高い権限が付与された場合であっても、破壊的なコマンド実行のリスクを最小限に抑えることを狙いとしています。

今回の事案は、AI支援による開発ワークフローが抱えるより広範な課題、すなわち柔軟性・自律性と堅牢な安全管理とのバランスをどう取るかという問題を浮き彫りにしています。

組織が本番環境のパイプラインにAIエージェントを組み込む動きを強める中、サンドボックスの無効化や検証レイヤーの迂回といった不適切な構成は、意図しない結果をシステムにもたらしかねません。

セキュリティ専門家は、開発者に対し、必要な場合を除きAIコーディングモデルをフルアクセスモードで実行しないよう推奨しています。またそうした運用を行う際には、必ずサンドボックスによる隔離、リアルタイムでのコマンド監査、最小権限アクセスポリシーを併用するよう助言しています。

ファイルシステム上の異常な活動を監視すること、そして定期的なバックアップを維持することも、重要な防御策となります。

詳細な事後分析(ポストモーテム)が近日中に公開される見込みで、根本原因や追加の緩和策についてより踏み込んだ技術的知見が示される可能性があります。

それまでの間、今回の事案は、保護策が存在しない場合には悪意のないAIの挙動であっても重大な運用リスクを招き得ることを示す警告事例として受け止めるべきでしょう。

 脅威検知と迅速な調査を加速させ、SOCを強化。 -> ANY.RUNをSOCと統合 今すぐ

翻訳元: https://gbhackers.com/gpt-5-6-codex-reportedly-wipes-files-from-home-directories/

ソース: gbhackers.com