Avviso di OpenAI: l'accesso completo a Codex potrebbe causare la perdita di dati — come utilizzare in sicurezza la modalità sandbox

L'assistente di programmazione Codex di OpenAI è in grado di leggere file, modificare repository di codice, eseguire comandi e interagire con gli strumenti di sviluppo sul computer dell'utente. Queste funzionalità lo rendono molto utile per attività di ingegneria di lunga durata, ma implicano anche che la sua sicurezza dipenda in larga misura dai permessi e dai confini della sandbox impostati dall'utente. Secondo quanto riportato da AIBase, OpenAI ha indagato su un numero limitato di incidenti in cui Codex ha eliminato file dalla directory home dell'utente. Il rapporto sottolinea che le sessioni operative interessate si trovavano in

发布于 2026年7月17日generalGEO 评分: 01 次阅读
Avviso di OpenAI: l'accesso completo a Codex potrebbe causare la perdita di dati — come utilizzare in sicurezza la modalità sandbox

OpenAI avverte: l'accesso completo a Codex potrebbe causare perdita di dati

Introduzione

L'agente di codifica Codex di OpenAI è in grado di leggere file, modificare repository di codice, eseguire comandi e interagire con gli strumenti di sviluppo sulla macchina dell'utente. Queste funzionalità lo rendono adatto a lavori di ingegneria a lungo termine, ma significano anche che la sua sicurezza dipende in larga misura dai permessi scelti dall'utente e dai confini della sandbox.

AIBase riporta che OpenAI ha indagato su un numero limitato di casi in cui Codex ha eliminato file dalla directory home dell'utente. Secondo il rapporto, le sessioni interessate sono state eseguite con accesso completo abilitato e senza protezione sandbox.

La spiegazione tecnica specifica fornita da AIBase riguarda un'interazione errata tra la logica delle directory temporanee e la variabile d'ambiente $HOME. OpenAI non ha ancora pubblicato un'analisi post-mortem pubblica che confermi questo processo esatto.

Ciò che OpenAI ha confermato pubblicamente è più ampio e comunque significativo: la sua documentazione ufficiale di Codex avverte che l'accesso completo rimuove i confini della directory del progetto, il che può portare a operazioni distruttive impreviste e quindi alla perdita di dati.

Pertanto, la raccomandazione diretta è: a meno che non sia realmente necessario un accesso illimitato protetto da un altro livello di isolamento, Codex dovrebbe essere limitato a un'area di lavoro sandbox.

Di cosa tratta il problema segnalato di eliminazione di file

Il rapporto AIBase fornito descrive il problema come verificatosi in specifiche combinazioni di impostazioni:

  1. A Codex è stato concesso l'accesso completo alla macchina locale.
  2. I confini della sandbox erano disabilitati.
  3. I meccanismi di approvazione o revisione automatica non erano attivi.
  4. L'attività tentava di creare o utilizzare una directory di lavoro temporanea.
  5. Un errore che coinvolgeva la variabile d'ambiente $HOME avrebbe portato la directory home dell'utente a essere considerata un bersaglio per l'eliminazione.

Su macOS e Linux, $HOME punta tipicamente alla directory home dell'utente corrente. Questa directory può contenere:

  • Cartelle Desktop e Documenti.
  • Repository di codice sorgente.
  • Configurazioni e chiavi SSH.
  • Impostazioni delle applicazioni.
  • File di configurazione della shell.
  • Database locali.
  • File personali.
  • Cartelle di sincronizzazione cloud.

Pertanto, un'eliminazione ricorsiva su un percorso errato potrebbe avere un impatto ben oltre il progetto attualmente attivo.

Cosa dicono gli avvertimenti ufficiali di OpenAI

L'attuale documentazione sulla sandbox di Windows di OpenAI indica che eseguire Codex con accesso completo significa che l'agente non è più limitato alla directory del progetto. Potrebbe eseguire operazioni distruttive impreviste che portano alla perdita di dati.

La documentazione sui permessi di OpenAI definisce tre profili di permessi integrati:

Profilo di permesso Comportamento del filesystem Scenari di utilizzo
:read-only L'esecuzione dei comandi locali rimane in sola lettura Ispezione del repository, pianificazione e revisione
:workspace Consente la scrittura all'interno della directory principale dell'area di lavoro attiva e delle directory temporanee di sistema Codifica ordinaria e manutenzione del repository
:danger-full-access Rimuove le limitazioni della sandbox locale Solo quando si utilizza intenzionalmente e con isolamento separato un accesso illimitato

La documentazione ufficiale descrive anche le seguenti modalità come ad alto rischio:

codex --dangerously-bypass-approvals-and-sandbox

Lo stesso comportamento può essere ottenuto tramite alias:

codex --yolo

Questi comandi disabilitano sia la sandbox che i prompt di approvazione. Sono elencati qui per consentire agli utenti di identificare ed evitare questa configurazione pericolosa, non per raccomandarne l'uso.

OpenAI etichetta questa modalità come senza sandbox, senza approvazione e sconsiglia l'uso normale.

Perché l'accesso completo modifica drasticamente il livello di rischio

Gli agenti di codifica non si limitano a suggerire comandi. In modalità agente locale, possono eseguire direttamente questi comandi.

Quando si utilizza la sandbox dell'area di lavoro, il sistema operativo e le policy di Codex limitano l'ambito di scrittura dei comandi. I comandi errati potrebbero comunque danneggiare il progetto corrente, ma non dovrebbero modificare arbitrariamente directory non correlate.

Con l'accesso completo abilitato, invece, i confini tecnici non esistono più. Il modello e i suoi comandi Shell potrebbero potenzialmente accedere a:

  • L'intera directory home.
  • Altri repository di codice.
  • Dischi montati.
  • Cartelle di sincronizzazione cloud.
  • File di credenziali.
  • Configurazioni del gestore di pacchetti.
  • Dati delle applicazioni locali.
  • Strumenti esterni accessibili dall'account utente.

Ecco perché la sola formulazione del prompt non è sufficiente come mezzo di controllo. Dire all'agente "modifica solo questa cartella" è un'istruzione comportamentale, mentre la sandbox è il confine applicato con la forza.

OpenAI considera sandbox e approvazione come controlli complementari:

  • Sandbox determina ciò a cui l'agente può tecnicamente accedere.
  • Policy di approvazione determina quando l'agente deve fermarsi e chiedere il permesso.

Rimuovere entrambi i controlli costituisce la configurazione a più alto rischio.

I prompt di approvazione e la revisione automatica non equivalgono alla sandbox

I prompt di approvazione possono intercettare i rischi prima dell'esecuzione di operazioni pericolose, ma non sostituiscono l'isolamento del filesystem.

Un utente potrebbe approvare un comando errato. Anche un revisore automatico può valutare solo le operazioni inoltrate tramite il sistema di approvazione.

La documentazione di OpenAI spiega che la revisione automatica esegue un'analisi dei rischi sulle richieste di approvazione idonee, incluse operazioni distruttive, accesso alle credenziali, furto di dati e indebolimento persistente della sicurezza.

Una configurazione tipica di revisione automatica è:

approval_policy = "on-request"
approvals_reviewer = "auto_review"

Ciò riduce l'affaticamento da approvazione mantenendo al contempo un livello di revisione.

Tuttavia, quando Codex viene avviato in modalità bypass di approvazione e sandbox, il revisore potrebbe non avere confini di autorità da applicare.

Le modalità più sicure sono:

  1. Mantenere abilitata la sandbox dell'area di lavoro.
  2. Utilizzare approvazione su richiesta o revisione automatica.
  3. Aggiungere eccezioni limitate solo quando necessario.
  4. Evitare di aprire un accesso illimitato sulla macchina host.

Modalità predefinita raccomandata da OpenAI

OpenAI raccomanda impostazioni predefinite diverse a seconda che la directory di lavoro sia sotto controllo di versione:

  • Cartella sotto controllo di versione: Scrittura nell'area di lavoro + approvazione su richiesta.
  • Cartella non sotto controllo di versione: Modalità sola lettura.

Per i repository ordinari, il comando CLI esplicito è:

codex --sandbox workspace-write --ask-for-approval on-request

Per ispezionare senza modificare i file:

codex --sandbox read-only --ask-for-approval

Approvazione su richiesta

Queste impostazioni limitano Codex entro confini di esecuzione definiti, consentendo al contempo all'utente di approvare operazioni speciali.

OpenAI documenta anche un compromesso per attività non supervisionate. È possibile disabilitare i prompt di approvazione mantenendo attiva la sandbox:

codex --sandbox workspace-write --ask-for-approval never

In questa modalità, Codex esegue le attività al meglio delle sue possibilità entro i limiti dell'area di lavoro, senza richiedere autorizzazioni per operazioni oltre i confini. Questo è molto più sicuro che disabilitare sia l'approvazione che la sandbox.

Come disabilitare l'accesso completo in Codex

I controlli specifici variano leggermente nell'app desktop di ChatGPT, in Codex CLI e nelle integrazioni IDE, ma il principio è lo stesso.

Passaggio 1: Aprire il controllo dei permessi

Nell'interfaccia desktop o IDE, aprire il selettore dei permessi vicino al compositore del prompt.

Selezionare la modalità di restrizione dell'area di lavoro o la modalità sandbox predefinita, anziché l'accesso completo.

Passaggio 2: Utilizzare l'accesso all'area di lavoro per la codifica normale

Selezionare una modalità che consenta a Codex di scrivere solo all'interno del progetto attivo o della directory principale dell'area di lavoro.

Nella CLI, utilizzare:

codex --sandbox workspace-write --ask-for-approval on-request

Passaggio 3: Utilizzare la modalità sola lettura per la revisione iniziale

Quando si apre un repository sconosciuto, utilizzare prima:

codex --sandbox read-only --ask-for-approval on-request

Lasciare che Codex esamini il codice e proponga piani prima di concedere i permessi di scrittura.

Passaggio 4: Confermare i confini attuali

In Codex

Durante la configurazione, utilizza la schermata di stato o autorizzazioni per confermare quali directory sono considerate root dell'area di lavoro scrivibili.

Non dare per scontato che la cartella visualizzata nell'editor sia l'unica directory accessibile all'agente.

Passaggio 5: Mantieni attiva l'approvazione per operazioni che eccedono i limiti

Per i comandi che richiedono permessi aggiuntivi, utilizza l'approvazione su richiesta.

Per ridurre l'attrito nel flusso di lavoro, puoi considerare una revisione automatica, invece di eliminare completamente l'approvazione.

Passaggio 6: Riavvia le sessioni esistenti con accesso completo

La modifica dei file di configurazione potrebbe non limitare retroattivamente i processi in esecuzione.

Dopo aver apportato le modifiche:

  1. Termina la sessione corrente di Codex.
  2. Conferma la configurazione.
  3. Riavvia Codex dalla directory del progetto prevista.
  4. Ricontrolla i permessi correnti prima di proseguire.

Impostazioni più sicure per config.toml

Codex supporta la configurazione tramite il seguente percorso:

~/.codex/config.toml

Per un sistema di configurazione sandbox già consolidato, le impostazioni predefinite più sicure sono:

approval_policy = "on-request"
sandbox_mode = "workspace-write"

Una configurazione più restrittiva è:

approval_policy = "on-request"
sandbox_mode = "read-only"

È possibile aggiungere una revisione automatica senza rimuovere la sandbox:

approval_policy = "on-request"
sandbox_mode = "workspace-write"
approvals_reviewer = "auto_review"

OpenAI documenta anche il sistema di profili di autorizzazione come un sistema di configurazione più recente e in versione beta. Una semplice configurazione per l'area di lavoro è:

default_permissions = ":workspace"

Una configurazione predefinita di sola lettura è:

default_permissions = ":read-only"

Avviso di configurazione: OpenAI sottolinea che il nuovo sistema di profili di autorizzazione non è compatibile con la vecchia impostazione sandbox_mode. Configura solo uno dei due sistemi.

Inoltre; non inserire mai entrambi i metodi in una singola configurazione attiva aspettandoti che si combinino automaticamente.

Esempio: limitare la scrittura all'area di lavoro e bloccare i file .env

Per gli utenti che testano la versione beta del sistema di profili di autorizzazione, OpenAI offre politiche personalizzate per estendere i confini integrati dell'area di lavoro.

Un file di configurazione del progetto può bloccare l'accesso ai file di ambiente mantenendo scrivibile l'area di lavoro:

default_permissions = "project-edit"

[permissions.project-edit]
extends = ":workspace"

[permissions.project-edit.filesystem.":workspace_roots"]
"**/*.env" = "deny"

[permissions.project-edit.network]
enabled = false

Questa politica:

  • Mantiene scrivibili i normali file di progetto.
  • Preserva i meccanismi di protezione integrati dell'area di lavoro.
  • Blocca l'accesso ai file .env corrispondenti.
  • Disabilita l'accesso di rete ai comandi.

Per molte attività di codifica locale, questo rappresenta un punto di partenza migliore rispetto alla concessione di un accesso esteso all'intera macchina.

Misure di controllo aziendali per bloccare l'accesso completo

Le organizzazioni possono utilizzare requisiti gestiti per impedire agli utenti di selezionare la modalità sandbox senza restrizioni.

OpenAI mostra una lista consentita simile a questa:

allowed_sandbox_modes = ["read-only", "workspace-write"]

Ciò impedisce che l'accesso completo sia un'opzione sandbox disponibile in ambienti gestiti.

Anche il sistema di profili di autorizzazione più recente può essere soggetto a restrizioni centralizzate. Gli amministratori possono definire profili approvati e omettere :danger-full-access dall'insieme consentito.

Questo è utile perché le policy di sicurezza non dovrebbero dipendere completamente dal fatto che ogni sviluppatore ricordi di selezionare la modalità corretta.

Flusso di lavoro più sicuro per le operazioni di codifica quotidiane

Un flusso di lavoro pratico mantiene la maggior parte della velocità di Codex senza esporre l'intero sistema host.

1. Lavora in repository dedicati

Avvia Codex dalla directory del progetto (non dalla home directory o da una cartella principale che contiene progetti non correlati).

Evita percorsi ampi, come:

~

o:

/

come area di lavoro attiva.

2. Utilizza il controllo di versione prima di delegare

OpenAI consiglia di utilizzare rami di funzionalità e mantenere git status pulito prima di affidare il lavoro a Codex.

Una semplice procedura di preparazione è:

git status
git switch -c codex/nome-attività
git add -A
git commit -m "Checkpoint prima dell'attività Codex"

Adatta il nome del ramo e il messaggio di commit in base al progetto.

3. Fai commit frequenti

I commit piccoli facilitano la revisione e il rollback delle singole modifiche.

Non aspettare la fine di una lunga sessione autonoma per creare il primo punto di ripristino recuperabile.

4. Rivedi comandi e differenze

Considera l'output di Codex come una richiesta pull:

  • Controlla i comandi che propone.
  • Rivedi le differenze nei file.
  • Esegui i test.
  • Conferma i percorsi delle modifiche.
  • Controlla le eliminazioni accidentali.
  • Registra le decisioni importanti.

5. Utilizza alberi di lavoro o container per attività rischiose

Per grandi refactoring, esperimenti con dipendenze, modifiche al sistema di build o attività di pulizia, isola ulteriormente l'agente.

Le opzioni includono:

  • Alberi di lavoro Git.
  • Macchine virtuali usa e getta.
  • Container di sviluppo.
  • Container Docker.
  • Account di sviluppo temporanei con permessi limitati.

OpenAI fornisce un esempio di container di sviluppo sicuro, per i casi in cui il container è progettato per...

confini di isolamento esterni.

6. Mantieni backup in aree inaccessibili all'agente

Il controllo di versione protegge i file tracciati nel repository, ma non tutti i file sul computer.

Utilizza un sistema di backup che Codex non possa modificare tramite lo stesso account utente o file system montato. Esempi includono backup offline, snapshot immutabili o servizi di backup remoto con supporto della cronologia delle versioni.

Cosa fare dopo una cancellazione accidentale

Quando un file viene appena cancellato, le scritture successive potrebbero sovrascrivere i blocchi disco recuperabili.

Adotta le seguenti precauzioni:

  1. Interrompi immediatamente la sessione di Codex.
  2. Ferma gli strumenti di compilazione, i gestori di pacchetti, i client di sincronizzazione e qualsiasi altro processo che scrive sul disco interessato.
  3. Non reinstallare software sull'unità interessata.
  4. Controlla la cronologia Git, gli alberi di lavoro, la cronologia locale dell'editor, gli snapshot e la cronologia delle versioni cloud.
  5. Dai priorità al ripristino da backup noti e integri.
  6. Per dati insostituibili, prima di tentare operazioni di ripristino fai-da-te ripetute, considera servizi professionali di recupero dati.

Per il codice sorgente tracciato, inizia con un controllo non distruttivo:

git status
git diff
git log --oneline --all

Non eseguire comandi di ripristino Git distruttivi finché non hai confermato quali file e commit sono ancora disponibili.

Cosa sta migliorando OpenAI

AIBase riferisce che OpenAI sta aggiornando i contenuti di avviso per l'accesso completo e rafforzando le misure di protezione, mentre prepara rapporti di analisi degli eventi più dettagliati.

La documentazione pubblica attuale di OpenAI include già chiaramente avvisi che l'accesso completo può portare alla perdita di dati, raccomandando al contempo l'uso di confini sandbox, politiche di eccezione rigorose, processi di approvazione, profili di autorizzazione, checkpoint del controllo di versione e ambienti di sviluppo isolati.

Al momento della stesura di questo documento, non è ancora disponibile un rapporto pubblico ufficiale di analisi post-mortem sull'esatto evento del meccanismo di cancellazione della directory $HOME.

Ciò significa che gli utenti dovrebbero fare affidamento sui controlli attualmente disponibili, invece di aspettare spiegazioni future:

  • Non abilitare l'accesso completo per impostazione predefinita.
  • Mantieni intatti i confini del progetto.
  • Mantieni l'approvazione per le operazioni con privilegi elevati.
  • Utilizza il controllo di versione e i backup.
  • Isola le attività di automazione ad alto rischio.

Distinzioni importanti

Gli errori del modello non sono l'unico rischio

I comportamenti distruttivi possono originarsi da più livelli:

  • Il modello ha scelto un comando non sicuro.
  • L'espansione di una variabile ha portato a un percorso inaspettato.
  • La shell ha interpretato erroneamente le virgolette.

Lo script di pulizia punta alla directory sbagliata.

  • Lo strumento viene eseguito da una directory di lavoro imprevista.
  • L'utente approva il comando senza verificarlo.
  • La sandbox è disabilitata.

Pertanto, la sicurezza non può basarsi esclusivamente sulla precisione del modello.

La maggior parte delle attività di codifica non richiede accesso completo

Modifiche ordinarie, test, ricerche ed esecuzione di comandi locali possono essere effettuati entro i confini dell'area di lavoro.

Quando un'attività necessita di accesso aggiuntivo a una directory o a una destinazione di rete, si consiglia di aggiungere eccezioni precise, anziché esporre l'intero sistema.

La revisione automatica riduce l'attrito operativo, ma non cambia le conseguenze

La revisione automatica aiuta a classificare le richieste di approvazione, ma non rende innocua l'esecuzione senza limiti.

La sandbox resta il meccanismo di controllo locale più forte, perché limita le operazioni possibili di un comando anche quando quest'ultimo è intrinsecamente errato.

Domande frequenti

Codex può [eliminare] file dal mio computer?

Quando Codex ha permessi di scrittura, può modificare ed eliminare file. In modalità area di lavoro, queste operazioni sono limitate alla directory radice scrivibile configurata; in modalità accesso completo, i vincoli della sandbox locale vengono rimossi, aumentando l'impatto potenziale di comandi errati.

OpenAI ha confermato l'esatta vulnerabilità di eliminazione di $HOME?

Il report di AIBase attribuisce tale spiegazione all'indagine di OpenAI. La documentazione pubblica di OpenAI conferma un rischio più ampio di perdita di dati in caso di accesso completo, ma al 17 luglio 2026 non esiste alcuna analisi tecnica pubblica post-incidente che confermi l'esatto meccanismo relativo a $HOME.

Qual è la modalità di permessi più sicura per Codex?

Quando Codex deve solo ispezionare un repository, utilizza la modalità :read-only. Per la codifica ordinaria, la modalità :workspace o workspace-write con approvazione su richiesta offre un equilibrio pratico tra produttività e controllo di sicurezza.

È sicuro usare --yolo?

--yolo è un alias per bypassare approvazione e sandbox. OpenAI lo descrive come una modalità ad alto rischio senza sandbox né approvazione, quindi non dovrebbe essere utilizzata su macchine normali che contengono file importanti.

Codex può funzionare automaticamente senza richiedere approvazione, mantenendo comunque la sandbox?

Sì. La documentazione OpenAI indica che --ask-for-approval never è compatibile con la modalità sandbox. Ad esempio, codex --sandbox workspace-write --ask-for-approval never evita le richieste interattive di approvazione pur mantenendo i confini dell'area di lavoro.

Git può proteggermi da tutti i tipi di perdita di dati con Codex?

No. Git può ripristinare i file tracciati e sottoposti a commit nel repository, ma non protegge automaticamente file non tracciati, credenziali, documenti personali, database esterni o cartelle non correlate. Per qualsiasi dato non archiviato in modo sicuro nel controllo versione, utilizza un sistema di backup indipendente.

La revisione automatica può sostituire la sandbox?

No. La revisione automatica valuta le richieste di approvazione che soddisfano i criteri, mentre la sandbox applica i confini del filesystem e della rete. Quando possibile, è opportuno mantenere entrambi i controlli, anziché considerarli intercambiabili.

Dovrei usare la modalità accesso completo all'interno di un container?

È ragionevole quando il container o la macchina virtuale è progettato appositamente come confine di sicurezza esterno e non contiene dati sensibili montati. Esamina attentamente i punti di mount, le credenziali, l'accesso alla rete e l'integrazione con l'host, poiché la modalità accesso completo può comunque danneggiare o esporre qualsiasi contenuto accessibile all'interno di tale ambiente.

Strumenti correlati

  • Codex CLI: Agente di codifica locale a riga di comando di OpenAI per lavorare su repository e automazione.
  • Permessi di Codex: Documentazione ufficiale per modalità di sola lettura, area di lavoro e accesso completo.
  • Sandbox di Codex: Spiega come applicare i confini del filesystem e della rete.
  • Repository GitHub di Codex: Repository ufficiale open source di Codex CLI.
  • Visual Studio Code Dev Containers: Esecuzione di flussi di lavoro di sviluppo in ambienti containerizzati isolati.
  • Git: Fornisce cronologia delle versioni, rami, differenze e ripristino per file sorgente tracciati.

Collegamenti correlati

Approvazioni e sicurezza degli agenti: Guida ufficiale su modalità sandbox, politiche di approvazione, revisione automatica e impostazioni pericolose.

Riepilogo

Il presunto evento di eliminazione di file di Codex si è verificato nelle condizioni operative a più alto rischio: accesso completo e nessun confine di sandbox. AIBase descrive un presunto errore di pulizia correlato a $HOME, mentre la documentazione pubblica di OpenAI conferma un fatto più generale: l'accesso illimitato può causare operazioni distruttive impreviste e perdita di dati.

Per la maggior parte degli sviluppatori, il lavoro ordinario sui repository di codice non richiede accesso completo. Scrittura limitata all'area di lavoro, approvazione su richiesta, punti di controllo del controllo versione e ambienti isolati offrono modalità operative più sicure senza indebolire le funzionalità di codifica principali di Codex.

Quando si eseguono attività non presidiate, gli utenti possono disabilitare le richieste di approvazione mantenendo la sandbox dell'area di lavoro. Questo è molto più sicuro che bypassare entrambe le protezioni.

La regola pratica è semplice: concedi a Codex solo l'accesso ai progetti di cui ha bisogno, non all'intera macchina.