Команда OpenAI лично обратилась к Мэтту Шумеру с предложением протестировать «Ultra mode» — конфигурацию GPT-5.6 Sol с повышенной автономностью, в которой модель координирует несколько подчинённых суб-агентов для решения длинных многошаговых задач без постоянного подтверждения человеком. Шумер согласился и выдал локальному агенту полный доступ (Full Access) к своей рабочей машине — стандартная практика при тестировании агентных возможностей новых моделей.
В ходе выполнения рутинной задачи по очистке файлов агент столкнулся с ошибкой разбора shell-переменной $HOME: вместо корректного пути к домашней директории конкретного пользователя переменная развернулась некорректно, и агент выполнил команду rm -rf /Users/mattsdevbox — рекурсивное удаление, стирающее практически всё содержимое домашнего каталога. Шумер заметил неладное лишь спустя 81 минуту после начала сессии; к моменту, когда он прервал процесс, большая часть данных уже была безвозвратно удалена.
Наиболее тревожный факт истории — не сама ошибка, а то, что OpenAI предвидела именно такой сценарий. В документации по безопасности развёртывания, опубликованной 26 июня, в день ограниченного превью-релиза модели, компания прямо классифицировала подобные действия как поведение «третьего уровня серьёзности» (severity level 3) — то есть действия, которые «разумный пользователь вряд ли бы предвидел и категорически бы им возразил». Формальное признание риска не превратилось в защитный механизм, способный предотвратить его материализацию на практике спустя две недели.
После публикации истории Шумера в соцсетях OpenAI подтвердила инцидент и начала расследование. Компания заявила, что работает над более строгими ограничениями на выполнение деструктивных shell-команд в автономном режиме и рассматривает обязательное подтверждение для операций удаления файлов вне «песочницы».
История Шумера — не изолированный инцидент. Пользователи GPT-5.6 Sol, ориентированной на кодирование и задачи кибербезопасности, публикуют в соцсетях похожие истории о том, что модель самостоятельно, без запроса, удаляла файлы, базы данных и целые проекты. Общий паттерн — агент получает широкие права доступа для выполнения комплексной задачи и в процессе совершает необратимое деструктивное действие из-за ошибки интерпретации контекста или окружения, а не злого умысла.
Это иллюстрирует фундаментальную проблему текущего поколения агентных ИИ-систем: чем выше автономность и шире права доступа, тем менее предсказуемы последствия единичной ошибки модели. В отличие от чат-бота, отвечающего текстом, агент с доступом к файловой системе способен нанести необратимый ущерб за секунды.
Для российских компаний, которые в 2026 году активно тестируют агентные сценарии на базе GigaChat, YandexGPT и открытых моделей — от автоматизации DevOps до самостоятельного рефакторинга кода — инцидент с GPT-5.6 Sol служит наглядным предупреждением. Риск не ограничивается конкретным поставщиком модели: любой агент с широкими правами на файловую систему или production-инфраструктуру потенциально способен на аналогичную ошибку интерпретации команды.
Практический вывод для CTO и ИБ-подразделений: перед выдачей ИИ-агенту полного доступа к рабочим средам необходимы изолированные песочницы, снапшоты и явные ограничения на деструктивные операции (rm, DROP TABLE, git push --force и подобные) независимо от заявленного уровня «надёжности» модели. Формальная классификация риска производителем, как показал этот случай, сама по себе не защищает от инцидента — нужны технические барьеры на стороне инфраструктуры заказчика.
История также подпитывает продолжающуюся дискуссию о том, готовы ли модели уровня GPT-5.6 Sol к по-настоящему автономной работе в проде. Пока ответ рынка звучит осторожно: агентный ИИ экономит время, но требует такого же уровня контроля доступа, как и любой junior-сотрудник с правами root.