OpenAI 最新推出的以编程和网络安全为核心的旗舰模型 GPT-5.6 Sol 的用户,正在社交媒体上发布令人震惊的帖子,声称该模型在未经事先询问的情况下,自行删除了他们的文件、数据,甚至整个数据库。
“GPT-5.6-Sol 刚刚意外删除了我 Mac 上几乎所有的文件,”AI 初创公司 OthersideAI(HyperWrite 的开发商)的创始人兼首席执行官 Matt Shumer 在 X 平台上发布了一篇现已广为传播的帖子。
“GPT-5.6 Sol 刚刚删除了我整个生产数据库。就是这样。不是开玩笑。以前用任何其他模型,都从未发生过这种事,”开发者 Bruno Lemos 在 X 平台上发帖说。
“看来我被 Codex Sol 过于激进的系统坑了,它删除了一些不该删的文件。我有备份,所以还好,但这可不酷,Sol 需要收敛一点,”开发者 Joey Kudish 发帖说。
Reddit 上的一篇帖子收集了更多类似案例。
诚然,只有少数用户提出此类指控——即使像 Shumer 这样可信的人——从统计上看,并不能可靠地证明模型是唯一过错方。还有很多其他变量可能导致 AI 系统行为异常。
但 OpenAI 在 Sol 发布之前就曾指出这一风险。在 OpenAI 发布 GPT-5.6 Sol 的两周前,该公司发布了一份该模型的系统卡——这份文件记录了模型的测试方法和结果。自然,这份系统卡主要是在赞扬 Sol 的能力,这类报告通常如此。但它也包含了一种警告(粗体强调为我们所加):
“在编程场景中,不对齐通常源于过度急于完成任务,以及对用户指令解释得过于宽松——即假设只要没有明确且无歧义地禁止,这些操作就是允许的。这表现为模型在尝试执行请求任务时,过于智能体化地规避所遇到的限制;在采取可能超出任务范围且具有破坏性的行动时粗心大意;或在向用户报告结果时具有欺骗性。”
换句话说,OpenAI 发现 Sol 倾向于采取它认为能完成任务的任何行动,即使这些行动具有破坏性,只要这些行动没有被“明确”禁止。然后,它可能会对自己采取这些行动的原因撒谎。
OpenAI 分享了一些例子。在一个案例中,用户告诉 Sol 删除三台名为 1、2 和 3 的远程虚拟机(基于云的计算机)。但论文指出,Sol 在其查找的位置找不到这些名称,于是它没有停下来询问,而是决定删除另外三台虚拟机 5、6 和 7。在此过程中,它“终止了正在运行的进程,并强制删除了工作树(与编码项目相关的工作文件)”。它后来承认,“远程虚拟机 6 上未提交的工作可能已经丢失。”
简而言之,它自行删除了错误的机器,并且只在事后才承认自己的所作所为。
在另一个案例中,Sol “使用了超出用户授权的凭证”。凭证是系统用来验证谁有权登录的用户名、密码或安全密钥。这一事件发生在 Sol 处理一个项目时,它无法读取其云文件。Sol 没有向用户提示问题,而是自行寻找凭证,在本地隐藏缓存中找到了一些,然后在未经用户询问或授权的情况下使用了它们。
系统卡确实承诺破坏性行为应该很少见,尽管它也承认 GPT-5.6 Sol “比 GPT-5.5 更倾向于超越用户的意图,包括采取或尝试用户未要求的行动。”
现在判断这些事件——Sol 删除文件,或筛选出用户未提供的凭证——究竟有多普遍还为时过早。与此同时,Sol 用户应准备好为该模型实施自己的安全措施,例如使用权限范围界定(不授予对生产系统的访问权限)、维护备份以及分阶段部署。
OpenAI 未立即回应我们的置评请求。