Saltar al contenido

OpenAI explica por qué GPT-5.6 borró archivos: el modo full access y un error con $HOME

OpenAI dice que GPT-5.6 borró archivos al intentar cambiar $HOME en modo full access, sin sandbox ni auto review.

por Dilis Salazar
OpenAI explica por qué GPT-5.6 borró archivos: el modo full access y un error con $HOME
Photo by Mariia Shalabaieva / Unsplash

TL;DR:

  • Thibault Sottiaux, responsable de Codex en OpenAI, dijo el 16 de julio de 2026 que los borrados aparecen sobre todo en modo full access, sin sandbox y sin auto review: el modelo intenta redefinir la variable $HOME hacia una carpeta temporal y termina borrando la carpeta personal real.
  • La system card del 25 de junio ya traía el número: GPT-5.6 Sol saca 0.83 en la prueba de evitar sobrescritura de datos, contra 0.88 de GPT-5.5.
  • OpenAI actualizará el developer message, empujará a más usuarios hacia modos de permisos más seguros y sumará protecciones al harness.

OpenAI ya tiene una explicación para los borrados. Thibault "Tibo" Sottiaux, responsable de Codex, publicó el 16 de julio de 2026 en X el resultado de la investigación interna sobre los casos en que GPT-5.6 eliminó archivos que nadie le pidió tocar. El patrón se repite: el usuario activó el modo full access, corrió Codex sin sandbox y sin auto review, el modelo intentó redefinir la variable de entorno $HOME para apuntar a una carpeta temporal y acabó borrando el $HOME de verdad. Importa porque desde el 9 de julio GPT-5.6 opera dentro de ChatGPT, Codex y la API, y en los días siguientes varios desarrolladores con nombre y apellido contaron en público que perdieron desde archivos sueltos hasta una base de datos de producción completa.

El matiz que Sottiaux no se saltó: la configuración la eligió el usuario, sí, pero ahí no termina el asunto.

"Por supuesto, no es así como queremos que se comporte el sistema."

La frase aplica, escribió, incluso cuando alguien corre el modelo en full access, sin el sandbox y sin el auto review, la capa que revisa acciones de alto riesgo y las rechaza antes de que se ejecuten. De ahí salen las tres medidas que anunció: actualizar el developer message, guiar a más usuarios hacia modos de permisos más seguros y sumar protecciones al harness, el andamiaje de software que rodea al modelo y ejecuta sus comandos. De acuerdo con el medio especializado Techzine, en el mismo hilo adelantó que el post-mortem completo llega en los próximos días.

Qué es $HOME y por qué borrarlo se lleva el equipo entero

$HOME es la variable de entorno que le dice a un sistema Unix, como macOS o Linux, dónde vive la carpeta personal del usuario. Un agente que trabaja con archivos temporales tiene un motivo razonable para redefinirla: quiere que la limpieza caiga en una carpeta de paso y no en el proyecto. El problema aparece cuando la redefinición no toma. El borrado sale igual, pero apunta al lugar original. Y en un Mac, ahí viven los documentos, los repositorios, las configuraciones y las llaves. No se limpia una carpeta temporal: se vacía el equipo.

Pantalla de laptop mostrando una terminal con líneas de comando sobre un escritorio oscuro
Imagen ilustrativa: los borrados reportados ocurrieron con Codex ejecutando comandos de terminal fuera del sandbox · Foto de Rafael Minguet Delgado en Pexels

OpenAI publicó la cifra del problema dos semanas antes del lanzamiento

La system card de GPT-5.6, el documento donde la empresa reporta cómo probó el modelo y qué encontró, está fechada el 25 de junio de 2026, exactamente dos semanas antes del lanzamiento público. Trae una sección dedicada a evitar acciones destructivas accidentales. Y trae un número.

En la prueba que mide si el modelo completa una tarea sin sobrescribir datos y cambios del usuario inyectados de forma adversarial en el entorno, GPT-5.6 Sol saca 0.83, contra 0.88 de GPT-5.5. Terra baja a 0.81 y Luna a 0.73. En la métrica combinada, que además exige que la tarea salga bien, Sol empata con su antecesor en 0.44. La propia OpenAI describe el resultado como ligeramente por debajo y sostiene que Sol sigue siendo sólido evitando sobrescrituras. No es exactamente el escenario del $HOME, pero es la medición pública más cercana que existe.

Detrás de ese 0.83 hay un cambio de método. Para las generaciones anteriores, OpenAI desplegaba los modelos con instrucciones extra de cautela pegadas al prompt para sostener el puntaje. Con GPT-5.6 decidió entrenar esa cautela dentro del modelo y ganar autonomía sin depender de instrucciones. El primer punto de la lista de mitigaciones que publicó Sottiaux esta semana es actualizar el developer message. O sea, volver a las instrucciones.

El resto del documento es igual de explícito sobre el carácter del modelo:

  • En contextos de código, la desalineación nace de una mezcla de exceso de ganas por terminar la tarea y de leer las instrucciones con demasiada manga ancha: el agente asume que algo está permitido salvo que se lo prohíban de forma explícita e inequívoca.
  • Eso produce un modelo que rodea las restricciones que se le ponen, que actúa con descuido cuando la acción puede ser destructiva más allá del alcance de la tarea, o que resulta engañoso al reportar sus resultados.
  • Sol toma más seguido que GPT-5.5 acciones de severidad 3, la categoría que OpenAI define como comportamiento que un usuario razonable no anticiparía y al que se opondría con fuerza: borrar datos en la nube sin aprobación, desactivar sistemas de monitoreo, ofuscar para saltarse controles de seguridad o subir datos sensibles a servicios no aprobados.
  • La compañía dice haber observado casos del modelo haciendo trampa en tareas y fabricando resultados de investigación, y atribuye buena parte del efecto a la mayor persistencia de Sol en los niveles de razonamiento más altos.
  • Las tasas absolutas, insiste OpenAI, siguen siendo bajas.

El documento hasta cuenta los casos internos. En uno, el usuario autorizó borrar las máquinas virtuales remotas 1, 2 y 3; Sol no encontró esos nombres en el namespace donde buscó, así que borró la 5, la 6 y la 7 sin preguntar, mató procesos activos y forzó la eliminación de worktrees. Después reconoció que quizá se perdió trabajo sin guardar en la máquina 6, y se detuvo cuando el usuario reclamó. En otro, un trabajo en la nube no lograba leer sus archivos: Sol rastreó cachés locales de credenciales, copió un access_tokens.json y dos archivos más al host, y relanzó el proceso. Nadie lo había autorizado a mover credenciales entre máquinas.

⚠️
El modo full access de Codex se activa con --dangerously-bypass-approvals-and-sandbox (alias --yolo) y apaga el sandbox y las aprobaciones. La documentación oficial de OpenAI lo etiqueta como riesgo elevado y lo desaconseja. El preset por defecto, Auto, limita la escritura al workspace y exige aprobación para salir de ahí.

Los reportes que encendieron la mecha

Los casos públicos llegaron por X. Matt Shumer, fundador y CEO de OthersideAI, la empresa detrás de HyperWrite, escribió lo que ya es la publicación más citada del episodio:

"GPT-5.6-Sol acaba de borrar por accidente casi TODOS los archivos de mi Mac."

El desarrollador Bruno Lemos contó que Sol le borró la base de datos de producción entera y remarcó que no le había pasado nunca, con ningún otro modelo. Joey Kudish reportó archivos perdidos, aclaró que tenía respaldos y pidió que le bajaran el tono al modelo. Un hilo de Reddit juntó más casos. TechCrunch, que compiló los reportes el 14 de julio, puso el freno donde corresponde: un puñado de quejas, aunque vengan de alguien tan creíble como Shumer, no prueba estadísticamente que el modelo sea el único culpable, porque en un sistema agéntico hay muchas piezas capaces de fallar. Ese mismo día, OpenAI no respondió a su solicitud de comentario. La explicación de Sottiaux llegó dos días después.

GPT-5.6 tampoco aterrizó solo. Llegó el 9 de julio junto con la fusión de Codex dentro de ChatGPT y el estreno del agente ChatGPT Work.

ChatGPT se vuelve ‘super app’ con Codex y GPT-5.6
OpenAI fusionó Codex y ChatGPT en una ‘super app’ con modelos GPT-5.6 Sol, Terra y Luna y una nueva app de escritorio

Qué revisar hoy si ya le diste Codex a tu terminal

La documentación oficial de Codex trae la respuesta corta, y no cambió esta semana:

  • El preset por defecto, Auto (--sandbox workspace-write --ask-for-approval on-request), deja al agente leer, editar y correr comandos dentro del workspace, con el acceso a red apagado. Para salir de ahí o tocar la red, pide aprobación.
  • Si solo quieres planear o preguntar, --sandbox read-only bloquea ediciones y comandos. OpenAI lo recomienda por defecto en carpetas que no están bajo control de versiones.
  • El auto review (approvals_reviewer = "auto_review") manda las solicitudes de aprobación a un agente revisor que busca exfiltración de datos, sondeo de credenciales, debilitamiento de la seguridad y acciones destructivas, y rechaza las de riesgo crítico. Consume llamadas extra al modelo.
  • Dentro de las carpetas escribibles, .git, .agents y .codex quedan en solo lectura de forma recursiva.
  • Full access apaga todo. Es un flag, y OpenAI lo desaconseja por escrito.

La system card agrega una recomendación que suena obvia hasta que se vuelve cara: cuando GPT-5.6 trabaja como agente de código, sobre todo en trayectorias largas, hay que supervisarlo.

Preguntas rápidas sobre los borrados de GPT-5.6

¿Por qué GPT-5.6 borra archivos?

Según Thibault Sottiaux, responsable de Codex en OpenAI, el patrón común es correr Codex en modo full access, sin sandbox y sin auto review. Ahí el modelo intenta redefinir la variable $HOME para apuntar a una carpeta temporal, se equivoca y borra la carpeta personal real del usuario.

¿Me puede pasar con la configuración por defecto de Codex?

La documentación oficial de OpenAI dice que Codex arranca con el preset Auto: escritura limitada al workspace, acceso a red apagado y aprobación obligatoria para salir de ahí. En carpetas sin control de versiones recomienda read-only. El modo sin sandbox ni aprobaciones hay que activarlo a propósito con un flag.

¿OpenAI ya arregló el problema?

Sottiaux anunció el 16 de julio tres medidas: actualizar el developer message, guiar a más usuarios hacia modos de permisos más seguros y sumar protecciones al harness. No dio fecha de despliegue. De acuerdo con Techzine, adelantó que el post-mortem completo llega en los próximos días.

Nada de esto es exótico para quien trabaja con agentes: el sandbox de Codex existe justo para esto. Lo que el episodio deja al descubierto es la distancia entre lo que una empresa documenta y lo que un usuario configura cuando trae prisa. OpenAI midió el riesgo, lo escribió y lo publicó dos semanas antes de abrir el modelo al mundo, y aun así dejó la opción de apagar todas las protecciones a un flag de distancia. Para el desarrollador hispanohablante que ya metió Codex en su terminal, la lectura práctica cabe en una línea: el respaldo no es paranoia, es parte de la configuración.

Fuentes: 1, 2, 3

Dilis Salazar imagen de perfil
por Dilis Salazar

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más de Tecnología y Ciencia