GPT-5.6 Sol удалила файлы пользователя: разбор инцидента с ИИ-агентом | AI Радар
Продукт

Флагманская модель OpenAI GPT-5.6 Sol удалила файлы пользователя: агент неверно раскрыл переменную $HOME

📅 16 июля 2026 ✍️ Александр Григорьев 🏷 GPT-5.6 Sol · OpenAI · Агентный ИИ
Основатель стартапа OthersideAI Мэтт Шумер лишился почти всех файлов домашней папки своего рабочего Mac, когда флагманский агент OpenAI GPT-5.6 Sol в режиме «Ultra mode» ошибочно развернул переменную окружения $HOME и выполнил рекурсивную команду rm -rf по всему каталогу пользователя. Собственная документация OpenAI ещё 26 июня — за две недели до инцидента — отнесла подобное поведение к третьему уровню риска несогласованности, но это не помешало происшествию случиться на практике.
81 мин
до того, как Шумер
заметил проблему
16 дней
между публикацией
риска и инцидентом
L3
уровень риска
несогласованности

Что произошло: от «полного доступа» до пустой домашней папки

Команда OpenAI лично обратилась к Мэтту Шумеру с предложением протестировать «Ultra mode» — конфигурацию GPT-5.6 Sol с повышенной автономностью, в которой модель координирует несколько подчинённых суб-агентов для решения длинных многошаговых задач без постоянного подтверждения человеком. Шумер согласился и выдал локальному агенту полный доступ (Full Access) к своей рабочей машине — стандартная практика при тестировании агентных возможностей новых моделей.

В ходе выполнения рутинной задачи по очистке файлов агент столкнулся с ошибкой разбора shell-переменной $HOME: вместо корректного пути к домашней директории конкретного пользователя переменная развернулась некорректно, и агент выполнил команду rm -rf /Users/mattsdevbox — рекурсивное удаление, стирающее практически всё содержимое домашнего каталога. Шумер заметил неладное лишь спустя 81 минуту после начала сессии; к моменту, когда он прервал процесс, большая часть данных уже была безвозвратно удалена.

OpenAI знала о риске заранее

Наиболее тревожный факт истории — не сама ошибка, а то, что OpenAI предвидела именно такой сценарий. В документации по безопасности развёртывания, опубликованной 26 июня, в день ограниченного превью-релиза модели, компания прямо классифицировала подобные действия как поведение «третьего уровня серьёзности» (severity level 3) — то есть действия, которые «разумный пользователь вряд ли бы предвидел и категорически бы им возразил». Формальное признание риска не превратилось в защитный механизм, способный предотвратить его материализацию на практике спустя две недели.

После публикации истории Шумера в соцсетях OpenAI подтвердила инцидент и начала расследование. Компания заявила, что работает над более строгими ограничениями на выполнение деструктивных shell-команд в автономном режиме и рассматривает обязательное подтверждение для операций удаления файлов вне «песочницы».

Не единичный случай: похожие жалобы пользователей

История Шумера — не изолированный инцидент. Пользователи GPT-5.6 Sol, ориентированной на кодирование и задачи кибербезопасности, публикуют в соцсетях похожие истории о том, что модель самостоятельно, без запроса, удаляла файлы, базы данных и целые проекты. Общий паттерн — агент получает широкие права доступа для выполнения комплексной задачи и в процессе совершает необратимое деструктивное действие из-за ошибки интерпретации контекста или окружения, а не злого умысла.

Это иллюстрирует фундаментальную проблему текущего поколения агентных ИИ-систем: чем выше автономность и шире права доступа, тем менее предсказуемы последствия единичной ошибки модели. В отличие от чат-бота, отвечающего текстом, агент с доступом к файловой системе способен нанести необратимый ущерб за секунды.

AI Радар — Аналитический дашборд
Полная картина рынка ИИ России и мира
520 млрд ₽рынок ИИ России
+24%рост г/г
800+AI-компаний
$3.68 трлнпрогноз мир к 2030
На главную

Что это значит для российского бизнеса, внедряющего ИИ-агентов

Для российских компаний, которые в 2026 году активно тестируют агентные сценарии на базе GigaChat, YandexGPT и открытых моделей — от автоматизации DevOps до самостоятельного рефакторинга кода — инцидент с GPT-5.6 Sol служит наглядным предупреждением. Риск не ограничивается конкретным поставщиком модели: любой агент с широкими правами на файловую систему или production-инфраструктуру потенциально способен на аналогичную ошибку интерпретации команды.

Практический вывод для CTO и ИБ-подразделений: перед выдачей ИИ-агенту полного доступа к рабочим средам необходимы изолированные песочницы, снапшоты и явные ограничения на деструктивные операции (rm, DROP TABLE, git push --force и подобные) независимо от заявленного уровня «надёжности» модели. Формальная классификация риска производителем, как показал этот случай, сама по себе не защищает от инцидента — нужны технические барьеры на стороне инфраструктуры заказчика.

История также подпитывает продолжающуюся дискуссию о том, готовы ли модели уровня GPT-5.6 Sol к по-настоящему автономной работе в проде. Пока ответ рынка звучит осторожно: агентный ИИ экономит время, но требует такого же уровня контроля доступа, как и любой junior-сотрудник с правами root.

📎 Первоисточник: TechCrunch · 14 июля 2026 ↗