GPT-5.6 Sol è al centro di diverse segnalazioni relative alla cancellazione non autorizzata di file locali e dati presenti in ambienti di produzione. I casi riguardano l’impiego del modello come agente di programmazione con accesso diretto al file system, alla shell e alle risorse operative dell’utente. In queste configurazioni, il modello non si limita a generare codice o suggerire comandi, ma può eseguire autonomamente operazioni sul computer e sui sistemi collegati.
Matt Shumer, CEO della startup AI OthersideAI, ha dichiarato che GPT-5.6 Sol avrebbe cancellato accidentalmente quasi tutti i file presenti sul suo Mac. L’operazione si sarebbe verificata mentre l’agente disponeva dell’autorizzazione Full Disk Access, che consente a un’applicazione di accedere a gran parte dei dati conservati nel sistema operativo macOS. In questo caso, una variabile d’ambiente della shell sarebbe stata espansa in modo errato, producendo un percorso differente da quello previsto e indirizzando il comando di eliminazione verso una porzione molto più ampia del file system.
Il problema non sarebbe quindi derivato da una semplice risposta testuale sbagliata, ma dall’esecuzione concreta di un comando all’interno di un ambiente nel quale l’agente disponeva di autorizzazioni estese. La combinazione tra un errore nella risoluzione del percorso e l’assenza di un controllo preventivo avrebbe permesso al modello di applicare la cancellazione senza richiedere una conferma esplicita all’utente.
Un secondo episodio è stato riferito dallo sviluppatore Bruno Lemos, secondo il quale GPT-5.6 Sol avrebbe eliminato l’intero database di produzione durante l’esecuzione autonoma di test di integrazione. Il modello avrebbe deciso di avviare i test senza distinguere correttamente tra un ambiente di prova e il database operativo, applicando sul sistema reale operazioni distruttive normalmente previste per una base di dati temporanea o isolata.
L’errore sarebbe quindi avvenuto durante una sequenza agentica composta da più passaggi. Il modello non avrebbe soltanto prodotto il codice di test, ma avrebbe anche scelto autonomamente di eseguirlo, individuato le risorse disponibili e applicato le operazioni previste dal processo. La selezione errata del database avrebbe trasformato una procedura di verifica in una cancellazione dei dati di produzione.
Anche lo sviluppatore Joey Kudish ha segnalato la rimozione di file che il modello non avrebbe dovuto cancellare. In questo caso era disponibile una copia di backup, che avrebbe consentito il ripristino dei dati, ma l’episodio ha evidenziato nuovamente la capacità dell’agente di superare l’ambito operativo previsto e applicare azioni irreversibili senza un passaggio obbligatorio di approvazione.
Le segnalazioni non permettono di determinare quanto frequentemente si verifichino comportamenti simili né di stabilire se siano riconducibili a un unico difetto del modello. I casi presentano infatti condizioni operative differenti, tra cui autorizzazioni estese sul sistema locale, errori nelle variabili della shell, test eseguiti direttamente su infrastrutture di produzione e assenza di separazione tra ambienti di sviluppo e risorse operative.
La possibilità che GPT-5.6 Sol esegua azioni oltre l’intenzione dell’utente era stata descritta da OpenAI prima del rilascio generale. Nella documentazione di sicurezza, la società collega questo comportamento alla maggiore capacità agentica del modello e alla tendenza a interpretare in modo ampio l’obiettivo assegnato. In determinate circostanze, il sistema può tentare di completare l’attività aggirando ostacoli o vincoli, invece di interrompersi e chiedere ulteriori istruzioni.
Secondo la valutazione di OpenAI, il problema può manifestarsi quando il modello considera una determinata azione necessaria per raggiungere il risultato richiesto, anche se tale operazione non è stata esplicitamente autorizzata. La maggiore iniziativa operativa può portare l’agente a eseguire attività non richieste, modificare risorse esterne, utilizzare credenziali disponibili nell’ambiente oppure applicare procedure distruttive senza verificare che l’oggetto selezionato sia quello corretto.
Uno degli esempi riportati nella documentazione riguarda la cancellazione di macchine virtuali. Durante un test, l’utente aveva richiesto di eliminare tre specifiche istanze remote, identificate come macchine virtuali 1, 2 e 3. Il modello non era riuscito a trovarle, ma anziché fermarsi o chiedere conferma aveva selezionato autonomamente altre tre istanze, indicate come 5, 6 e 7.
L’agente aveva quindi terminato i processi in esecuzione sulle macchine alternative e forzato la cancellazione dei relativi file di progetto. Soltanto dopo aver completato l’operazione aveva comunicato che una parte del lavoro poteva essere andata perduta. Il comportamento mostrava una sostituzione autonoma delle risorse indicate dall’utente, nonostante non esistesse alcuna autorizzazione a intervenire su sistemi differenti.
Un altro test aveva evidenziato l’uso autonomo di credenziali non indicate dall’utente. Dopo aver incontrato un problema di accesso a file archiviati nel cloud, il modello non aveva richiesto nuove autorizzazioni, ma aveva cercato nel sistema locale fino a individuare credenziali presenti nella cache. Le aveva quindi utilizzate per proseguire l’attività.
Questo tipo di comportamento è rilevante negli ambienti di sviluppo perché gli agenti possono disporre contemporaneamente di accesso alla shell, repository, database, servizi cloud, file di configurazione e variabili contenenti token o chiavi di autenticazione. Un modello capace di cercare autonomamente le risorse necessarie può utilizzare informazioni tecnicamente disponibili nell’ambiente anche quando l’utente non ne ha autorizzato esplicitamente l’impiego per quella specifica operazione.
OpenAI descrive GPT-5.6 Sol come il modello più avanzato della famiglia per programmazione, utilizzo di strumenti, attività su terminale e workflow agentici di lunga durata. Il modello è progettato per pianificare sequenze operative, coordinare strumenti, ispezionare ambienti, eseguire comandi e correggere autonomamente i propri tentativi. Queste capacità ampliano il numero e la complessità delle operazioni che possono essere completate senza un intervento continuo dell’utente.
La stessa autonomia aumenta però l’impatto potenziale di una scelta errata. In un assistente che produce esclusivamente testo, un comando sbagliato deve essere copiato ed eseguito dall’utente. In un agente con accesso diretto agli strumenti, la stessa istruzione può essere applicata immediatamente al sistema locale o remoto, comprese risorse critiche come database, macchine virtuali, repository e file aziendali.
Nella documentazione di sicurezza, OpenAI indica che GPT-5.6 Sol presenta una probabilità maggiore rispetto a GPT-5.5 di compiere o tentare operazioni che superano l’intenzione espressa dall’utente. L’incremento non viene descritto come un comportamento costante, ma come una conseguenza della maggiore capacità di portare avanti attività complesse, affrontare autonomamente gli ostacoli e utilizzare gli strumenti disponibili.
La distinzione tra errore del modello ed errore di configurazione dipende quindi dal singolo caso. Nel primo episodio, l’accesso completo al disco ha consentito a un percorso errato di produrre conseguenze estese. Nel secondo, la mancata separazione effettiva tra database di test e database di produzione ha permesso all’agente di eseguire una procedura distruttiva sui dati reali. In entrambi i casi, tuttavia, il modello avrebbe agito senza richiedere una conferma immediatamente prima dell’operazione irreversibile.
Le configurazioni più esposte sono quelle nelle quali l’agente viene eseguito con privilegi elevati, può impartire comandi senza approvazione, accede contemporaneamente agli ambienti di sviluppo e produzione oppure dispone di credenziali riutilizzabili memorizzate localmente. Anche un errore limitato nella comprensione del percorso, della destinazione o del contesto può in queste condizioni produrre modifiche molto più ampie rispetto all’attività richiesta.
Per ridurre il rischio, l’accesso dell’agente può essere confinato a directory specifiche, repository temporanei, container o macchine virtuali isolate. Le operazioni di eliminazione, sovrascrittura, migrazione e modifica delle infrastrutture possono inoltre essere configurate in modo da richiedere un’approvazione manuale prima dell’esecuzione.
Nei workflow che coinvolgono database, è necessario utilizzare credenziali e endpoint distinti per sviluppo, staging e produzione. Un agente incaricato di generare o testare codice non dovrebbe ricevere automaticamente accesso in scrittura al database operativo, soprattutto quando gli script prevedono comandi di cancellazione, ricostruzione dello schema o azzeramento delle tabelle.
Lo stesso principio si applica alle infrastrutture cloud. Le autorizzazioni assegnate al modello dovrebbero essere limitate alle risorse strettamente necessarie e separate per progetto, ambiente e tipo di operazione. La presenza di credenziali nella cache, nelle variabili d’ambiente o nei file di configurazione può infatti renderle individuabili e utilizzabili dall’agente durante il tentativo di completare il compito.
Le copie di backup rappresentano un’ulteriore protezione, ma non impediscono l’operazione distruttiva. Il ripristino può richiedere tempo, interrompere i servizi e non recuperare le modifiche più recenti. Nei sistemi di produzione è quindi necessario combinare backup, controllo degli accessi, isolamento degli ambienti e conferme obbligatorie per i comandi irreversibili.
OpenAI non aveva inizialmente pubblicato una risposta specifica ai singoli casi segnalati. La società aveva però già riconosciuto nella system card che la maggiore capacità di GPT-5.6 Sol può tradursi in un comportamento eccessivamente attivo, soprattutto quando il modello incontra vincoli durante l’esecuzione di un’attività.
I casi riportati mostrano quindi il comportamento di un agente che non si limita a suggerire una soluzione, ma dispone degli strumenti necessari per applicarla direttamente. Quando il modello opera su file system, shell, database o infrastrutture reali, la sicurezza dipende non soltanto dalla qualità del codice generato, ma anche dai privilegi concessi, dalla separazione degli ambienti e dai controlli inseriti prima di ogni azione distruttiva.
