OpenAIは、GPT-5.6 Codexモデルが一部の確認済みケースにおいて、ユーザーのホームディレクトリからファイルを予期せず削除していたことを認めました。この問題は、サンドボックス外で稼働する自律型コーディングエージェントの運用面での安全性について、新たな懸念を投げかけています。
この事実は、Tibo Sottiaux氏(@thsottiaux)がX上で公表した、社内調査の結果によって明らかになりました。Sottiaux氏によれば、このファイル削除の挙動は稀ではあるものの、特定の設定条件下では再現性があるとのことです。
調査により、この破壊的な挙動が発生する前に重なりやすい3つの条件が特定されました。これらの事例は、フルアクセスモードが有効になっており、なおかつサンドボックス保護や自動レビュー機能が無効な状態でCodexが実行された場合に起きています。
こうした状況下では、モデルが一時作業ディレクトリを再定義しようとして$HOME環境変数を上書きしようとすることがあります。ところが実行時のエラーにより、モデルが本来意図していた一時パスではなく、$HOMEディレクトリそのものを誤って削除してしまうことがあるのです。
根本的な原因は、ファイル操作時にCodexが環境変数の操作をどのように扱っているかにあるとみられています。オペレーターがサンドボックスを無効化し、自動レビューをスキップしている場合、破壊的なコマンドを事前に検知する二次的な検証層が存在しません。
その結果、誤った削除コマンドが、隔離された作業ディレクトリではなく、ユーザーの実際のホームディレクトリを対象にしてしまう可能性があります。自動レビューは、ファイルシステム操作を含む高リスクな動作を実行前に検知するために設計された機能です。
一方でサンドボックス機能は、エージェントのファイルアクセスを隔離することで、たとえ破壊的なコマンドが発行されたとしても、実際のユーザーデータには影響が及ばないようにする仕組みです。
Sottiaux氏は、今回報告された事例はいずれも、ユーザーがこの2つの保護機能を同時に無効化していた場合に限って発生していたと強調しています。こうした設定は通常、上級者向けや信頼性の高い自動化ワークフロー向けに限定されるものです。
「たとえユーザーが当社のサンドボックスによる保護や自動レビューを利用せずにフルアクセスモードでモデルを操作していたとしても、このような挙動はもちろん私たちが望むシステムの振る舞いではありません」とSottiaux氏は述べ、設定内容にかかわらず、こうした結果は容認できないものであると強調しました。
OpenAIは、リスクを軽減するためにいくつかの対策を講じているとしています。具体的には、安全でない権限設定について、より明確に警告する開発者向けガイダンスの更新や、フルアクセスでの実行ではなく、より安全なデフォルトモードの採用をユーザーに促すことなどが含まれます。
同社はまた、根本原因についてのより詳細な技術的知見を提供し、今後のさらなる是正措置を示す詳細な事後検証レポートを、近日中に公開することも確認しています。
OpenAIは今回の問題を極めて稀な事象だとしていますが、この事案は、ファイルシステムやシェルへの直接アクセス権を持つエージェント型AIシステムをめぐる、より広範なセキュリティ上の懸念を浮き彫りにしています。こうしたツールがより自律的になるにつれ、設定ミスによるリスクは大幅に高まっていきます。
Codexや類似のシステムをフルアクセス環境で利用する開発者や組織は、特にホームディレクトリが関わる環境において、サンドボックス機能と自動レビューの仕組みを、任意のオプションではなく必須の保護対策として扱うべきです。
より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合
翻訳元: https://cyberpress.org/gpt-5-6-codex-reportedly-deletes-files/