Advertencia de OpenAI: El acceso completo a Codex puede causar pérdida de datos – Cómo usar el modo sandbox de forma segura

El asistente de programación Codex de OpenAI puede leer archivos, editar repositorios de código, ejecutar comandos e interactuar con herramientas de desarrollo en la máquina del usuario. Estas funciones lo hacen muy útil para tareas de ingeniería prolongadas, pero también significan que su seguridad depende en gran medida de los permisos establecidos por el usuario y los límites del sandbox. Según informó AIBase, OpenAI ha investigado un pequeño número de incidentes en los que Codex eliminó archivos del directorio personal del usuario. El informe señala que las sesiones operativas afectadas se encontraban en

发布于 2026年7月17日generalGEO 评分: 012 次阅读
Advertencia de OpenAI: El acceso completo a Codex puede causar pérdida de datos – Cómo usar el modo sandbox de forma segura

OpenAI advierte que el acceso completo de Codex puede provocar pérdida de datos

Introducción

El agente de codificación Codex de OpenAI puede leer archivos, editar repositorios de código, ejecutar comandos e interactuar con herramientas de desarrollo en la máquina del usuario. Estas funcionalidades lo hacen adecuado para trabajos de ingeniería a largo plazo, pero también significan que su seguridad depende en gran medida de los permisos que el usuario elija y de los límites del sandbox.

AIBase informa que OpenAI ha investigado algunos casos en los que Codex eliminó archivos del directorio personal del usuario. Según el informe, las sesiones afectadas se ejecutaron con acceso completo activado y sin protección de sandbox.

La explicación técnica específica del informe de AIBase involucra una interacción errónea entre la lógica del directorio temporal y la variable de entorno $HOME. OpenAI aún no ha publicado un análisis post-mortem público que confirme ese proceso exacto.

Lo que OpenAI ha confirmado públicamente es más amplio e igualmente importante: su documentación oficial de Codex advierte que el acceso completo elimina los límites del directorio del proyecto, lo que puede provocar operaciones destructivas inesperadas y, en consecuencia, pérdida de datos.

Por lo tanto, la recomendación directa es: a menos que realmente necesite acceso sin restricciones y esté protegido por otra capa de aislamiento, limite Codex a un espacio de trabajo con sandbox.

¿Qué implica el problema reportado de eliminación de archivos?

El informe de AIBase describe el problema como algo que ocurre bajo una combinación específica de configuraciones:

  1. A Codex se le concedió acceso completo a la máquina local.
  2. Los límites del sandbox estaban deshabilitados.
  3. No se activaron mecanismos de aprobación o revisión automática.
  4. La tarea intentaba crear o utilizar un directorio de trabajo temporal.
  5. Un error relacionado con la variable de entorno $HOME supuestamente provocó que el directorio personal del usuario fuera tratado como objetivo de eliminación.

En macOS y Linux, $HOME generalmente apunta al directorio personal del usuario actual. Este directorio puede contener:

  • Carpetas de Escritorio y Documentos.
  • Repositorios de código fuente.
  • Configuración y claves SSH.
  • Configuraciones de aplicaciones.
  • Archivos de configuración del shell.
  • Bases de datos locales.
  • Archivos personales.
  • Carpetas de sincronización en la nube.

Por lo tanto, una eliminación recursiva dirigida a una ruta incorrecta podría afectar mucho más que el proyecto activo actual.

¿Qué dice la advertencia oficial de OpenAI?

La documentación actual del sandbox de Windows de OpenAI indica que ejecutar Codex con acceso completo significa que el agente ya no está limitado al directorio del proyecto. Puede realizar operaciones destructivas inesperadas que provoquen pérdida de datos.

La documentación de permisos de OpenAI define tres perfiles de permisos incorporados:

Perfil de permisos Comportamiento del sistema de archivos Escenario de uso
:read-only La ejecución de comandos locales se mantiene en solo lectura Revisión de repositorios, planificación y auditoría
:workspace Permite escritura dentro del directorio raíz del espacio de trabajo activo y del directorio temporal del sistema Codificación normal y mantenimiento de repositorios
:danger-full-access Elimina las restricciones locales del sandbox Solo cuando se use acceso sin restricciones de forma intencionada y aislada

La documentación oficial también describe que el siguiente modo es de alto riesgo:

codex --dangerously-bypass-approvals-and-sandbox

El mismo comportamiento se puede lograr con un alias:

codex --yolo

Estos comandos deshabilitan tanto el sandbox como las indicaciones de aprobación. Se listan aquí para que los usuarios identifiquen y eviten esta configuración peligrosa, no para recomendar su uso.

OpenAI etiqueta este modo como sin sandbox y sin aprobación, y afirma que no se recomienda para uso normal.

Por qué el acceso completo cambia drásticamente el nivel de riesgo

Los agentes de codificación no solo sugieren comandos. En el modo de agente local, pueden ejecutar esos comandos directamente.

Con el sandbox del espacio de trabajo, el sistema operativo y las políticas de Codex limitan el alcance de escritura de los comandos. Un comando erróneo podría dañar el proyecto actual, pero no debería modificar directorios no relacionados.

En cambio, con el acceso completo activado, los límites técnicos desaparecen. El modelo y sus comandos Shell podrían acceder potencialmente a:

  • Todo el directorio personal.
  • Otros repositorios de código.
  • Discos montados.
  • Carpetas de sincronización en la nube.
  • Archivos de credenciales.
  • Configuraciones del gestor de paquetes.
  • Datos de aplicaciones locales.
  • Herramientas externas accesibles por la cuenta de usuario.

Por eso, la redacción de las indicaciones por sí sola no es suficiente como medida de control. Decirle al agente "solo edita esta carpeta" es una instrucción de comportamiento, mientras que el sandbox es el límite que se aplica de forma forzosa.

OpenAI considera el sandbox y la aprobación como medidas de control complementarias:

  • Sandbox: determina técnicamente a qué puede acceder el agente.
  • Política de aprobación: determina cuándo el agente debe detenerse y solicitar permiso.

Eliminar ambos controles constituye la configuración de mayor riesgo.

Las indicaciones de aprobación y la revisión automática no equivalen al sandbox

Las indicaciones de aprobación pueden detectar riesgos antes de que se ejecuten operaciones peligrosas, pero no reemplazan el aislamiento del sistema de archivos.

El usuario podría aprobar un comando erróneo. El revisor automático solo puede evaluar las operaciones que se envían a través del sistema de aprobación.

La documentación de OpenAI explica que la revisión automática realiza un análisis de riesgo de las solicitudes de aprobación que cumplen los requisitos, incluyendo operaciones destructivas, acceso a credenciales, robo de datos y debilitamiento persistente de la seguridad.

Una configuración típica de revisión automática es:

approval_policy = "on-request"
approvals_reviewer = "auto_review"

Esto reduce la fatiga de aprobación mientras se mantiene una capa de revisión.

Sin embargo, cuando Codex se inicia en modo que elude aprobación y sandbox, es posible que el revisor no tenga límites de autoridad que hacer cumplir.

Un modo más seguro es:

  1. Mantener el sandbox del espacio de trabajo activado.
  2. Usar aprobación bajo demanda o revisión automática.
  3. Agregar excepciones de alcance limitado solo cuando sea necesario.
  4. Evitar otorgar acceso sin restricciones en la máquina anfitriona.

El modo predeterminado recomendado por OpenAI

OpenAI recomienda configuraciones predeterminadas diferentes según si el directorio de trabajo está bajo control de versiones:

  • Carpeta bajo control de versiones: Escritura en espacio de trabajo + aprobación bajo demanda.
  • Carpeta sin control de versiones: Modo de solo lectura.

Para repositorios normales, el comando CLI explícito es:

codex --sandbox workspace-write --ask-for-approval on-request

Para solo revisar archivos sin editarlos:

codex --sandbox read-only --ask-for-approval

Aprobación bajo demanda

Estas configuraciones limitan a Codex dentro de límites de ejecución definidos, al mismo tiempo que permiten al usuario aprobar operaciones especiales.

OpenAI también documenta una solución de compromiso para tareas desatendidas. Es posible deshabilitar las indicaciones de aprobación mientras se mantiene activo el sandbox:

codex --sandbox workspace-write --ask-for-approval never

En este modo, Codex hace todo lo posible para ejecutar tareas dentro de los límites del espacio de trabajo, sin solicitar permisos para operaciones fuera de esos límites. Esto es mucho más seguro que deshabilitar tanto la aprobación como el sandbox.

Cómo deshabilitar el acceso completo en Codex

En la aplicación de escritorio de ChatGPT, Codex CLI y las integraciones con IDE, los controles específicos varían ligeramente, pero el principio es el mismo.

Paso 1: Abrir el control de permisos

En la interfaz de escritorio o IDE, abra el selector de permisos cerca del redactor de indicaciones.

Seleccione el modo de restricción del espacio de trabajo o el modo de sandbox predeterminado, en lugar del acceso completo.

Paso 2: Usar acceso al espacio de trabajo para codificación normal

Seleccione el modo que permita a Codex escribir solo dentro del proyecto activo o del directorio raíz del espacio de trabajo.

En la CLI, use:

codex --sandbox workspace-write --ask-for-approval on-request

Paso 3: Usar modo de solo lectura para revisiones preliminares

Al abrir un repositorio desconocido, primero use:

codex --sandbox read-only --ask-for-approval on-request

Permita que Codex revise el código y proponga soluciones antes de otorgar permisos de escritura.

Paso 4: Verificar los límites actuales

En Codex

En la interfaz de estado o permisos, confirma qué directorios se consideran raíces del área de trabajo grabables.

No asumas que las carpetas mostradas en el editor son los únicos directorios accesibles para el agente.

Paso 5: Mantén la aprobación activada para operaciones fuera de límite

Usa aprobaciones bajo demanda para comandos que requieran permisos de acceso adicionales.

Para reducir la fricción en el flujo de trabajo, considera realizar revisiones automáticas en lugar de eliminar por completo las aprobaciones.

Paso 6: Reinicia las sesiones de acceso completo existentes

Cambiar los archivos de configuración puede no limitar retroactivamente los procesos en ejecución.

Después de realizar cambios en la configuración:

  1. Detén la sesión actual de Codex.
  2. Confirma la configuración.
  3. Reinicia Codex desde el directorio del proyecto esperado.
  4. Verifica los permisos actuales antes de continuar.

Configuraciones más seguras de config.toml

Codex admite configuración a través de la siguiente ruta:

~/.codex/config.toml

Para sistemas de configuración de caja de arena ya establecidos, los valores predeterminados más seguros son:

approval_policy = "on-request"
sandbox_mode = "workspace-write"

Una configuración de revisión más estricta es:

approval_policy = "on-request"
sandbox_mode = "read-only"

Se puede agregar revisión automática sin eliminar la caja de arena:

approval_policy = "on-request"
sandbox_mode = "workspace-write"
approvals_reviewer = "auto_review"

OpenAI también documenta el sistema de perfiles de permisos como un sistema de configuración beta más reciente. Una configuración simple del área de trabajo es:

default_permissions = ":workspace"

La configuración predeterminada de solo lectura es:

default_permissions = ":read-only"

Advertencia de configuración: OpenAI indica que el sistema de perfiles de permisos más reciente no es compatible con la configuración anterior sandbox_mode. Configura solo uno de los sistemas.

Además; nunca coloques ambos métodos en una misma configuración activa esperando que se combinen automáticamente.

Ejemplo: Limitar la escritura al área de trabajo y prohibir archivos .env

Para los usuarios que prueban la versión beta del sistema de perfiles de permisos, OpenAI ofrece políticas personalizadas que extienden los límites integrados del área de trabajo.

Un archivo de edición de proyecto puede prohibir el acceso a archivos de entorno mientras mantiene el área de trabajo grabable:

default_permissions = "project-edit"

[permissions.project-edit]
extends = ":workspace"

[permissions.project-edit.filesystem.":workspace_roots"]
"**/*.env" = "deny"

[permissions.project-edit.network]
enabled = false

Esta política:

  • Mantiene los archivos de proyecto normales grabables.
  • Conserva los mecanismos de protección integrados del área de trabajo.
  • Prohíbe el acceso a archivos .env coincidentes.
  • Deshabilita el acceso de red de los comandos.

Para muchas tareas de codificación local, esto es un mejor punto de partida que otorgar un amplio acceso a toda la máquina.

Medidas de control empresarial para bloquear el acceso completo

Las organizaciones pueden usar requisitos gestionados para evitar que los usuarios elijan el modo de caja de arena sin restricciones.

OpenAI muestra una lista de permitidos similar a:

allowed_sandbox_modes = ["read-only", "workspace-write"]

Esto impide que el acceso completo sea una opción de caja de arena disponible en entornos gestionados.

El sistema de perfiles de permisos más reciente también puede estar limitado de forma centralizada. Los administradores pueden definir perfiles aprobados y omitir :danger-full-access del conjunto permitido.

Esto es útil porque las políticas de seguridad no deberían depender completamente de que cada desarrollador recuerde seleccionar el modo correcto.

Flujo de trabajo más seguro para operaciones de código diarias

Un flujo de trabajo práctico mantiene gran parte de la velocidad de Codex sin exponer todo el sistema anfitrión.

1. Trabaja en repositorios dedicados

Inicia Codex desde el directorio del proyecto, no desde el directorio principal o carpetas principales que contengan proyectos no relacionados.

Evita rutas amplias como:

~

o:

/

como área de trabajo activa.

2. Usa control de versiones antes de delegar

OpenAI sugiere usar ramas de funcionalidades y mantener git status limpio antes de encomendar trabajo a Codex.

Un proceso de preparación simple es:

git status
git switch -c codex/nombre_de_tarea
git add -A
git commit -m "Punto de control antes de la tarea de Codex"

Ajusta el nombre de la rama y el mensaje de commit según el proyecto.

3. Realiza commits frecuentes

Los commits pequeños facilitan la revisión y reversión de cambios individuales.

No esperes hasta el final de una sesión autónoma prolongada para crear el primer punto de control recuperable.

4. Revisa comandos y diferencias

Trata la salida de Codex como una solicitud de extracción:

  • Verifica los comandos que propone.
  • Revisa las diferencias de archivos.
  • Ejecuta pruebas.
  • Confirma las rutas de modificación.
  • Verifica eliminaciones inesperadas.
  • Documenta decisiones importantes.

5. Usa árboles de trabajo o contenedores para tareas de riesgo

Para refactorizaciones grandes, experimentos con dependencias, cambios en el sistema de compilación o tareas de limpieza, aísla aún más al agente.

Las opciones incluyen:

  • Árboles de trabajo de Git.
  • Máquinas virtuales desechables.
  • Contenedores de desarrollo.
  • Contenedores Docker.
  • Cuentas de desarrollo temporales con permisos limitados.

OpenAI proporciona un ejemplo de contenedor de desarrollo seguro adecuado para cuando los contenedores están diseñados para...

Límites de aislamiento externos.

6. Mantén las copias de seguridad fuera del alcance del agente

El control de versiones protege los archivos del repositorio bajo seguimiento, pero no todos los archivos en la computadora.

Usa sistemas de copia de seguridad que Codex no pueda modificar a través de la misma cuenta de usuario o sistema de archivos montado. Ejemplos incluyen copias de seguridad fuera de línea, instantáneas inmutables o servicios de copia de seguridad remota con historial de versiones.

Medidas posteriores a una eliminación accidental

Cuando un archivo acaba de ser eliminado, escrituras posteriores pueden sobrescribir bloques de disco recuperables.

Toma las siguientes precauciones:

  1. Detén la sesión de Codex inmediatamente.
  2. Detén herramientas de compilación, gestores de paquetes, clientes de sincronización y otros procesos que escriban datos en el disco afectado.
  3. No reinstales software en la unidad afectada.
  4. Revisa el historial de Git, árboles de trabajo, historial local del editor, instantáneas e historial de versiones en la nube.
  5. Prioriza la recuperación desde copias de seguridad conocidas y en buen estado.
  6. Para datos irremplazables, considera servicios profesionales de recuperación de datos antes de intentar operaciones de recuperación repetidas por ti mismo.

Para código fuente bajo seguimiento, comienza con una verificación no destructiva:

git status
git diff
git log --oneline --all

No ejecutes comandos destructivos de recuperación de Git hasta confirmar qué archivos y commits siguen disponibles.

Qué está mejorando OpenAI

AIBase informa que OpenAI está actualizando el contenido de advertencias sobre el acceso completo y reforzando las medidas de protección, mientras prepara informes más detallados de análisis de incidentes.

La documentación pública actual de OpenAI ya incluye advertencias claras de que el acceso completo puede provocar pérdida de datos, y recomienda el uso de límites de caja de arena, políticas de excepción estrictas, flujos de aprobación, perfiles de permisos, puntos de control de control de versiones y entornos de desarrollo aislados.

Al momento de redactar este artículo, no hay un informe público oficial de análisis posterior al incidente sobre el mecanismo exacto de eliminación del directorio $HOME.

Esto significa que los usuarios deben confiar en los controles actualmente disponibles, en lugar de esperar explicaciones futuras:

  • No actives el acceso completo por defecto.
  • Mantén los límites del proyecto intactos.
  • Reserva la aprobación para operaciones elevadas.
  • Usa control de versiones y copias de seguridad.
  • Aísla las operaciones automatizadas de alto riesgo.

Distinciones importantes

El error del modelo no es el único riesgo

El comportamiento destructivo puede originarse en múltiples niveles:

  • El modelo selecciona un comando inseguro.
  • La expansión de variables lleva a rutas inesperadas.
  • El shell interpreta mal las comillas.

El script de limpieza apuntaba al directorio incorrecto.

  • La herramienta se ejecutó desde un directorio de trabajo no esperado.
  • El usuario aprobó el comando sin verificar.
  • El sandbox estaba deshabilitado.

Por lo tanto, la seguridad no puede depender únicamente de la precisión del modelo.

La mayoría de las tareas de codificación no requieren acceso completo

Las ediciones habituales, pruebas, búsquedas y ejecución de comandos locales generalmente pueden realizarse dentro de los límites del área de trabajo.

Cuando una tarea requiere acceso adicional a un directorio o destino de red específico, se recomienda agregar excepciones precisas en lugar de exponer todo el sistema.

La revisión automática reduce la fricción operativa, pero no cambia las consecuencias

La revisión automática ayuda a clasificar las solicitudes de aprobación, pero no hace que la ejecución sin restricciones sea inofensiva.

El sandbox sigue siendo el mecanismo de control local más sólido, ya que limita las operaciones que un comando puede realizar incluso cuando el comando en sí mismo contiene errores.

Preguntas frecuentes

¿Puede Codex iniciar desde

mi computadora?

Cuando Codex tiene permisos de escritura, puede editar y eliminar archivos. En el modo de área de trabajo, estas operaciones se limitan al directorio raíz de escritura configurado; en el modo de acceso completo, se eliminan las restricciones del sandbox local, lo que aumenta el impacto potencial de comandos erróneos.

¿OpenAI ha confirmado la vulnerabilidad exacta de eliminación de $HOME?

El informe de AIBase atribuye esa interpretación a la investigación de OpenAI. La documentación pública de OpenAI confirma un riesgo más amplio de pérdida de datos con acceso completo, pero hasta el 17 de julio de 2026, no hay un análisis técnico público posterior al incidente que confirme el mecanismo exacto de $HOME.

¿Cuál es el modo de permisos más seguro de Codex?

Cuando Codex solo necesita inspeccionar el repositorio, use el modo :read-only. Para codificación habitual, el modo :workspace o workspace-write con aprobación bajo demanda ofrece un equilibrio práctico entre productividad y control de seguridad.

¿Es seguro usar --yolo?

--yolo es un alias que omite la aprobación y el sandbox. OpenAI lo describe como un modo de alto riesgo sin sandbox ni aprobación, por lo que no debe usarse en una máquina normal que contenga archivos importantes.

¿Puede Codex ejecutarse automáticamente sin solicitar aprobación y aún mantener el sandbox?

Sí. La documentación de OpenAI indica que --ask-for-approval never es compatible con el modo sandbox. Por ejemplo, codex --sandbox workspace-write --ask-for-approval never evita las solicitudes interactivas de aprobación mientras mantiene los límites del área de trabajo.

¿Puede Git protegerme de todos los tipos de pérdida de datos de Codex?

No. Git puede restaurar archivos del repositorio que están rastreados y confirmados, pero no protege automáticamente archivos no rastreados, credenciales, documentos personales, bases de datos externas o carpetas no relacionadas. Para cualquier dato que no esté almacenado de forma segura en el control de versiones, use un plan de respaldo independiente.

¿Puede la revisión automática reemplazar el sandbox?

No. La revisión automática evalúa solicitudes de aprobación que cumplen con los criterios, mientras que el sandbox impone límites en el sistema de archivos y la red. Siempre que sea posible, ambas medidas de control deben mantenerse, en lugar de considerar una como sustituto de la otra.

¿Debería usar el modo de acceso completo dentro de un contenedor?

Esto tiene sentido cuando un contenedor o máquina virtual está diseñado específicamente como un límite de seguridad externo y no contiene datos montados sensibles. Revise cuidadosamente los puntos de montaje, credenciales, acceso a la red e integración con el host, ya que el modo de acceso completo aún puede dañar o filtrar cualquier cosa accesible dentro de ese entorno.

Herramientas relacionadas

  • Codex CLI: El agente de codificación local de línea de comandos de OpenAI para trabajo en repositorios y automatización.
  • Codex Permissions: Documentación oficial de los modos de solo lectura, área de trabajo y acceso completo.
  • Codex Sandbox: Explica cómo se imponen los límites del sistema de archivos y la red.
  • Repositorio de GitHub de Codex: El repositorio oficial de código abierto de Codex CLI.
  • Visual Studio Code Dev Containers: Ejecución de flujos de trabajo de desarrollo en entornos de contenedores aislados.
  • Git: Proporciona historial de versiones, ramas, diferencias y capacidad de reversión para archivos fuente rastreados.

Enlaces relacionados

Agent Approvals and Security: Guía oficial sobre modos de sandbox, políticas de aprobación, revisión automática y configuraciones peligrosas.

Resumen

El incidente reportado de eliminación de archivos por parte de Codex ocurrió bajo las condiciones de ejecución de mayor riesgo: acceso completo y sin límites de sandbox. AIBase describe un presunto fallo de limpieza relacionado con $HOME, mientras que la documentación pública de OpenAI confirma un hecho más amplio: el acceso sin restricciones puede provocar operaciones destructivas no deseadas y pérdida de datos.

Para la mayoría de los desarrolladores, el trabajo habitual en repositorios de código no requiere acceso completo. La escritura restringida al área de trabajo, la aprobación bajo demanda, los puntos de control de control de versiones y los entornos aislados ofrecen modos de ejecución más seguros sin comprometer las capacidades centrales de codificación de Codex.

Al ejecutar tareas no supervisadas, los usuarios pueden deshabilitar las solicitudes de aprobación mientras mantienen el sandbox del área de trabajo. Esto es mucho más seguro que omitir ambas protecciones.

La regla práctica es simple: otorgue a Codex acceso solo a los proyectos que necesita, no a toda la máquina.