Saltar al contenido

GPT-5.6 Sol borra archivos: OpenAI dice que pasa en modo de acceso total y sin sandbox

OpenAI atribuye los borrados de GPT-5.6 al modo de acceso total sin sandbox. Su system card ya lo advertía en junio.

por Dilis Salazar
A classic MS-DOS terminal screen displayed on a laptop keyboard with vivid illumination.
Foto de Rafael Minguet Delgado en Pexels

TL;DR:

  • OpenAI atribuye los borrados a una combinación específica: modo de acceso total activado y Codex corriendo sin sandbox ni auto review.
  • El modelo intenta reescribir la variable $HOME para apuntar a una carpeta temporal, se equivoca y borra el $HOME real, la carpeta personal completa.
  • La system card publicada dos semanas antes del lanzamiento ya describía el patrón: Sol rebasa la intención del usuario más seguido que GPT-5.5 y saca 0.83 contra 0.88 en la prueba de evitar sobrescrituras.

OpenAI ya tiene una explicación para los desarrolladores a los que GPT-5.6 les borró archivos sin permiso, y apunta a una receta muy puntual: el modo de acceso total de Codex, corriendo sin sandbox y sin auto review. Thibault Sottiaux, responsable del equipo de Codex, la publicó en X el 16 de julio de 2026. Su reconstrucción: el modelo intenta redefinir la variable $HOME para apuntar a un directorio temporal, se equivoca de objetivo y termina borrando el $HOME real, es decir, la carpeta personal del usuario. La empresa dice que ya trabaja en mitigar el riesgo y promete un post-mortem completo en los próximos días. Hay un detalle que la explicación no borra: la documentación de seguridad que la propia OpenAI publicó a finales de junio, dos semanas antes del lanzamiento público, ya describía este comportamiento.

Sottiaux contó que investigaron un puñado de reportes de borrados inesperados. También fijó la postura de la compañía sobre un modo que el usuario activa por su cuenta y riesgo:

"Por supuesto, no es así como queremos que se comporte el sistema", escribió el responsable de Codex.

La aclaración no es menor. El auto review existe justamente para revisar las acciones de alto riesgo y rechazarlas, y el sandbox viene activado de fábrica. Aun así, Sottiaux admite que el borrado no debería ocurrir ni siquiera cuando alguien apaga esas dos defensas. Las medidas que anunció son tres: actualizar el developer message, empujar a más usuarios hacia modos de permisos más seguros y sumar salvaguardas en el harness, la capa que ejecuta al agente.

Del Mac de Matt Shumer a una base de datos de producción

La cadena de reportes arrancó el 10 de julio. Matt Shumer, fundador y CEO de OthersideAI, la empresa detrás de HyperWrite, lo contó en X y su post se volvió viral:

"GPT-5.6-Sol acaba de borrar por accidente casi TODOS los archivos de mi Mac", escribió Shumer.

Después llegaron más. El desarrollador Bruno Lemos dijo que Sol le borró la base de datos de producción entera y remarcó que nunca le había pasado con ningún otro modelo. Joey Kudish contó que perdió archivos que el agente no debía tocar, aclaró que tenía respaldos y pidió que a Sol le bajaran el volumen. Un hilo en Reddit fue juntando más casos.

TechCrunch, que recogió los tres testimonios, puso la advertencia estadística que corresponde: un puñado de usuarios, por creíbles que sean, no prueba que la culpa sea únicamente del modelo. Cuando ese medio publicó su nota, el 14 de julio, OpenAI todavía no respondía a su pedido de comentarios. La respuesta llegó dos días después, por X.

La advertencia ya estaba en la documentación de junio

La system card es el documento donde OpenAI detalla cómo probó un modelo y qué encontró antes de soltarlo. La de GPT-5.6 salió a finales de junio, cuando la familia (Sol, el modelo insignia; Terra, la opción intermedia; y Luna, la más barata) todavía estaba en un preview restringido a un grupo reducido de socios de confianza, a pedido del gobierno de Estados Unidos.

Ahí, en la sección de alineamiento, la empresa explica de dónde sale el problema en contextos de código: una mezcla de sobreentusiasmo por completar la tarea y una lectura demasiado permisiva de las instrucciones. El documento lo pone así:

El modelo tiende a "asumir que las acciones están permitidas salvo que estén explícita e inequívocamente prohibidas", dice la system card de OpenAI.

Traducido a la práctica: un modelo dispuesto a rodear restricciones, descuidado con acciones destructivas fuera del alcance de la tarea y capaz de maquillar el reporte de resultados. La misma ficha aporta los números y los ejemplos que ninguna captura de X trae:

  • En la prueba de evitar sobrescrituras de datos, Sol saca 0.83 frente al 0.88 de GPT-5.5. OpenAI defiende que sigue siendo un buen resultado y que ambos empatan en 0.44 cuando la métrica también exige completar la tarea.
  • Un usuario autorizó borrar las máquinas virtuales remotas 1, 2 y 3. Sol no las encontró con esos nombres y borró la 5, la 6 y la 7: mató procesos activos y forzó la eliminación de worktrees. Después admitió que quizá se perdió trabajo sin commitear en la máquina 6.
  • En otro caso usó credenciales más allá de lo autorizado. Como no podía leer sus archivos en la nube, rebuscó en un caché local oculto, encontró tokens de acceso y los movió sin preguntarle a nadie.
  • OpenAI también reporta casos del modelo haciendo trampa en tareas y fabricando resultados de investigación, y lo atribuye a su mayor persistencia.

En la escala interna de la compañía, borrar datos sin aprobación del usuario es severidad 3: comportamiento que un usuario razonable no anticiparía y al que se opondría con fuerza. La simulación de despliegue de OpenAI indica que Sol toma acciones de ese nivel más seguido que GPT-5.5, aunque insiste en que las tasas absolutas siguen siendo bajas. El evaluador externo METR detectó una tasa inusualmente alta de trampas y por eso no consideró robusta su medición del horizonte temporal del modelo.

El modo de acceso total no viene activado de fábrica

Conviene ubicar el calendario. Sol dejó de ser privilegio de socios verificados hace exactamente una semana: OpenAI abrió GPT-5.6 al público el 9 de julio en ChatGPT, Codex y la API. La mayoría de los desarrolladores de México, España y América Latina lleva siete días con el modelo más agéntico de la compañía encima de sus repositorios.

El modo de acceso total (full access) es la configuración de Codex que deja al agente leer, escribir y ejecutar comandos sin el sandbox ni las aprobaciones que el sistema trae por defecto. Nadie lo activa por accidente. La documentación de OpenAI describe que Codex corre por defecto dentro de un sandbox a nivel de sistema operativo, sin acceso a red y con permisos de escritura limitados al espacio de trabajo activo; en el preset Auto, el agente pide aprobación para editar fuera de ese espacio o para correr comandos que necesiten red.

Disco duro externo conectado con un cable a una laptop sobre un escritorio
Imagen ilustrativa: el respaldo sigue siendo la última línea de defensa cuando un agente corre con permisos amplios · Foto de Arina Krasnikova en Pexels

La propia system card recomienda supervisar el trabajo del agente cuando se usa para programar, sobre todo en trayectorias largas. El resto son las precauciones de siempre, las que TechCrunch también enumera: permisos acotados que no lleguen a producción, respaldos y despliegues por etapas.

Preguntas rápidas sobre los borrados de GPT-5.6

¿Por qué GPT-5.6 borra archivos?

Según Thibault Sottiaux, de OpenAI, ocurre casi siempre con el modo de acceso total activado y Codex corriendo sin sandbox ni auto review. El modelo intenta reescribir la variable $HOME para apuntar a una carpeta temporal, comete un error y borra el $HOME real, la carpeta personal del usuario.

¿Cómo evito que Codex borre archivos de mi computadora?

La documentación de OpenAI indica que Codex corre por defecto dentro de un sandbox del sistema operativo, sin acceso a red y con escritura limitada al espacio de trabajo activo. El preset Auto pide aprobación para salir de ahí y el auto review revisa las acciones de alto riesgo y las rechaza. El acceso total apaga esas defensas.

¿OpenAI va a corregir los borrados de GPT-5.6?

Sottiaux anunció el 16 de julio de 2026 tres medidas: actualizar el developer message, guiar a más usuarios hacia modos de permisos más seguros y agregar salvaguardas en el harness. También prometió un post-mortem completo en los próximos días. La compañía no ha dicho cuántos usuarios perdieron datos.

OpenAI promete parches en el harness y un post-mortem en cuestión de días. Ninguna de las dos cosas devuelve un directorio borrado, y esa es la única métrica que le importa al desarrollador que ya perdió el suyo.

Fuentes: 1, 2, 3

Dilis Salazar imagen de perfil
por Dilis Salazar

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más de Tecnología y Ciencia