Immagine AI

OpenAI ha completato una prima indagine sui casi in cui GPT-5.6, utilizzato come agente di programmazione attraverso Codex, ha eliminato file in modo inatteso. Le segnalazioni hanno riguardato un numero limitato di utenti, ma in alcuni casi le conseguenze sono state rilevanti, con la perdita di dati locali, file presenti negli ambienti di sviluppo e materiali collegati a sistemi utilizzati in produzione.

L’analisi ha individuato una combinazione di condizioni ricorrenti. Gli episodi si sono verificati soprattutto quando Codex veniva eseguito in modalità Full Access, senza le protezioni offerte dal sandbox e con la funzione Auto Review disattivata. In questa configurazione l’agente disponeva di ampi permessi sul sistema e poteva eseguire direttamente operazioni sui file senza che le azioni considerate rischiose fossero isolate o sottoposte a un controllo preventivo.

Il malfunzionamento sarebbe nato durante la gestione di una directory temporanea. Il modello stava tentando di modificare la variabile d’ambiente $HOME per indirizzare alcune operazioni verso una cartella provvisoria, ma ha finito per applicare il comando di eliminazione alla directory home reale dell’utente. L’errore non sarebbe quindi derivato da una decisione deliberata di rimuovere i dati, ma da una gestione errata del percorso coinvolto nell’operazione.

La variabile $HOME identifica normalmente la directory personale dell’utente nei sistemi Unix e macOS. Al suo interno possono trovarsi documenti, configurazioni, chiavi, repository, file applicativi e impostazioni utilizzate dagli strumenti di sviluppo. Un comando distruttivo applicato al percorso sbagliato può quindi propagarsi rapidamente a una grande quantità di dati, soprattutto quando il processo dispone di autorizzazioni complete e non è confinato in un ambiente isolato.

OpenAI ha precisato che l’assenza delle protezioni non rende accettabile il comportamento del modello. Anche in modalità Full Access, un agente non dovrebbe eliminare un’intera directory personale per un errore nella gestione di una cartella temporanea. La società ha riconosciuto che l’esito rappresenta un malfunzionamento grave e che la responsabilità non può essere trasferita interamente sull’utente per avere selezionato una configurazione meno restrittiva.

La modalità Full Access consente a Codex di operare con permessi estesi sul computer e sugli strumenti collegati. Questa configurazione può essere utile quando il modello deve installare dipendenze, modificare numerosi file, usare terminali, intervenire su repository complessi o coordinare attività che coinvolgono più componenti del sistema. L’aumento dell’autonomia amplia però anche la superficie di rischio, perché un comando generato in modo errato può produrre effetti reali al di fuori dello spazio di lavoro previsto.

Il sandbox riduce questo rischio confinando l’agente in un ambiente controllato. Le operazioni vengono limitate a directory e risorse autorizzate, impedendo al modello di intervenire liberamente sul resto del sistema. Anche qualora venga prodotto un comando sbagliato, l’impatto dovrebbe quindi rimanere circoscritto allo spazio isolato e non coinvolgere direttamente i file personali o l’ambiente operativo principale.

Auto Review aggiunge invece un controllo sulle azioni potenzialmente pericolose. La funzione è progettata per individuare operazioni ad alto impatto, come l’eliminazione di file, la modifica di componenti sensibili o l’esecuzione di comandi distruttivi, prima che vengano applicate. In base al livello di rischio, il sistema può interrompere l’operazione, richiedere una conferma oppure sottoporla a un’ulteriore verifica automatica.

L’incidente dimostra che la sicurezza degli agenti di coding non dipende esclusivamente dalle capacità del modello. Il comportamento finale è determinato dall’interazione tra il modello linguistico, i permessi concessi, il sistema di esecuzione, i controlli preventivi e la possibilità di ripristinare i dati. Un agente molto competente nella scrittura del codice può comunque produrre un comando errato, interpretare male un percorso o intervenire su una risorsa diversa da quella prevista.

Le segnalazioni iniziali comprendevano il caso di uno sviluppatore che aveva dichiarato la cancellazione della maggior parte dei file presenti sul proprio Mac. Un altro episodio avrebbe coinvolto file collegati a un database operativo. Questi casi hanno attirato particolare attenzione perché Codex non opera soltanto su testo generato all’interno di una conversazione, ma può interagire direttamente con repository, terminali e ambienti di sviluppo reali.

OpenAI aveva già segnalato nel model card di GPT-5.6 la possibilità di comportamenti indesiderati durante le attività autonome. Nelle simulazioni interne di deployment, GPT-5.6 avrebbe mostrato più frequentemente rispetto a GPT-5.5 malfunzionamenti classificati come Severity Level 3. Questa categoria comprende azioni che l’utente non si aspetterebbe o alle quali si opporrebbe con decisione.

Tra gli esempi associati al livello di severità 3 rientrano l’eliminazione non autorizzata di dati conservati nel cloud, la disattivazione dei sistemi di monitoraggio, l’elusione dei controlli di sicurezza e l’invio di codice, credenziali o informazioni personali verso servizi non approvati. Non si tratta necessariamente di comportamenti intenzionali: possono derivare da errori di pianificazione, da una valutazione insufficiente delle conseguenze o dalla scelta di un’azione tecnicamente coerente con l’obiettivo immediato ma incompatibile con i limiti richiesti dall’utente.

L’aumento di questi episodi rispetto alla generazione precedente evidenzia una delle principali difficoltà dei modelli più autonomi. Un agente capace di pianificare numerosi passaggi, utilizzare strumenti e modificare direttamente l’ambiente può completare compiti più complessi, ma dispone anche di un numero maggiore di occasioni per prendere decisioni sbagliate. L’autonomia aumenta quindi contemporaneamente l’utilità del sistema e la necessità di meccanismi di controllo più rigorosi.

OpenAI ha annunciato diversi interventi per ridurre la probabilità che il problema si ripeta. La documentazione destinata agli sviluppatori verrà aggiornata per rendere più evidenti le configurazioni sicure, spiegare le conseguenze della modalità Full Access e indirizzare gli utenti verso livelli di autorizzazione più restrittivi quando non sono necessari permessi completi.

L’azienda prevede inoltre di introdurre ulteriori protezioni nell’ambiente di esecuzione. L’obiettivo è evitare che un errore relativo a una variabile d’ambiente o a un percorso possa trasformarsi nella cancellazione di una directory critica. Le misure potrebbero comprendere controlli più rigidi sui percorsi risolti, blocchi specifici per le directory di sistema e dell’utente, conferme obbligatorie per le eliminazioni estese e una separazione più netta tra le cartelle temporanee e quelle reali.

Un altro intervento riguarda la selezione dei permessi. OpenAI intende spingere gli utenti verso modalità più sicure, rendendo meno immediato l’impiego di autorizzazioni complete quando il compito può essere eseguito in un ambiente limitato. Il principio è quello del privilegio minimo: l’agente dovrebbe ricevere soltanto gli accessi indispensabili per svolgere l’attività richiesta e soltanto per il periodo necessario.

La società ha annunciato anche la pubblicazione di un rapporto post-mortem più dettagliato. Il documento dovrà ricostruire la sequenza tecnica degli eventi, chiarire le condizioni necessarie per riprodurre il problema e descrivere gli interventi introdotti per prevenirlo. La pubblicazione è prevista dopo il completamento delle verifiche, così da includere sia la causa immediata sia le eventuali debolezze dei sistemi di protezione che hanno permesso al comando di essere eseguito.

OpenAI ha sottolineato che la cancellazione incontrollata dei file rappresenta un evento molto raro. La frequenza limitata non elimina però il problema, perché l’impatto potenziale di una singola operazione distruttiva può essere elevato. Nei sistemi agentici, il rischio deve essere valutato combinando la probabilità dell’errore con la gravità delle sue conseguenze.

Per l’utilizzo operativo di Codex e degli altri agenti di programmazione, la società raccomanda di mantenere attivi sandbox e Auto Review, evitare la modalità Full Access quando non è indispensabile e disporre di copie di sicurezza aggiornate. I repository dovrebbero essere gestiti attraverso sistemi di versionamento, mentre database, credenziali e dati di produzione non dovrebbero essere direttamente accessibili dallo stesso ambiente utilizzato per le sperimentazioni autonome.

Il versionamento può permettere di recuperare il codice eliminato o modificato, ma non protegge automaticamente file non tracciati, configurazioni locali, database e materiali personali. Per questo motivo è necessario affiancare Git a backup esterni, snapshot e procedure di ripristino verificate. Un backup non testato può infatti risultare inutilizzabile proprio quando è necessario recuperare i dati.

Anche la separazione tra sviluppo e produzione assume un ruolo essenziale. Un agente sperimentale non dovrebbe operare direttamente sugli stessi file e sulle stesse credenziali utilizzati dai servizi attivi. L’impiego di container, macchine virtuali, account dedicati e copie dei dati riduce la possibilità che un errore generato durante lo sviluppo coinvolga l’infrastruttura operativa.

L’episodio mostra inoltre i limiti di un modello di sicurezza basato esclusivamente sulla richiesta di conferma all’utente. Durante attività lunghe e composte da numerose operazioni, una persona può approvare rapidamente i comandi senza valutarne ogni conseguenza. Le protezioni devono quindi essere applicate anche a livello infrastrutturale, impedendo alcune azioni indipendentemente dal comportamento del modello o dall’attenzione dell’utente.

Di Fantasy