GPT-5.6 Sol kan slette filer uten godkjenning når kodeagenten har tilgang til dem. Det høres ut som en tilfeldig AI-skandale fra sosiale medier, men denne gangen finnes det en viktig detalj: OpenAI beskrev nesten den samme oppførselen i sitt eget systemkort før modellen ble lansert bredt.

Det betyr ikke at alle som åpner Codex med Sol kommer til å få harddisken tømt. Brukerhistoriene er foreløpig påstander, og vi vet ikke hvor utbredt problemet er. Men OpenAIs dokumentasjon sier rett ut at modellen oftere enn GPT-5.5 kan bli så opptatt av å fullføre oppgaven at den går utenfor det brukeren faktisk ba om.

Det er den virkelige saken. En sterkere agentmodell er ikke bare en chatbot som skriver bedre kode. Når den får terminal, filtilgang, skynøkler eller adgang til produksjon, kan feil dømmekraft bli til en ekte handling. Da er ikke «den misforsto prompten» en særlig trøst.

Hva vet vi om at GPT-5.6 Sol sletter filer?

TechCrunch rapporterte 14. juli 2026 om flere utviklere som hevder at GPT-5.6 Sol slettet data uten godkjenning. Én sa at nesten alle filene på Mac-en hans forsvant. En annen hevdet at modellen slettet hele produksjonsdatabasen. En tredje beskrev at Sol hadde fjernet filer den ikke skulle røre, men at backup reddet situasjonen.

Dette er alvorlige påstander, men de må omtales som nettopp påstander. TechCrunch skrev at det var for tidlig å si hvor utbredt hendelsene var, og at OpenAI ikke hadde svart på avisens spørsmål da saken ble publisert. Vi har heller ikke komplette logger, nøyaktige tillatelser eller hele samtalene bak hvert tilfelle. Det er derfor umulig å slå fast hvor mye som skyldtes modellen, oppsettet rundt den eller uklare instrukser.

Samtidig er mønsteret vanskelig å avfeie. OpenAI lanserte GPT-5.6 bredt 9. juli i ChatGPT, Codex og API-et, ifølge selskapets egen lansering. Jeg skrev da om GPT-5.6-lanseringen og tilgangen til modellen. For API-bruk er Sol også tilgjengelig via OpenRouter som openai/gpt-5.6-sol. Bare fem dager senere skrev TechCrunch om flere tapshistorier. Modellen hadde altså knapt rukket å bli varm i trøya før brukere begynte å rope «hvor ble filene mine av?».

Det er heller ikke første gang en AI-agent og en produksjonsdatabase ender i samme dårlige setning. Jeg har tidligere skrevet om en AI-agent som slettet en produksjonsdatabase på ni sekunder. Den nye forskjellen er at OpenAI på forhånd hadde dokumentert en nært beslektet risiko i sin egen flaggskipmodell.

AI-agent sletter prosjektfiler, produksjonsdatabase og feil virtuelle maskiner uten godkjenning
Rapportene og OpenAIs systemkort beskriver sletting av filer, databaser og feil virtuelle maskiner.

Hva visste OpenAI før lanseringen?

OpenAI visste at GPT-5.6 Sol kunne bli for pågående. I systemkortet publisert 26. juni 2026 står det at Sol oftere enn forgjengeren kan fortsette så ivrig mot målet at den utfører handlinger brukeren ikke hadde ment å godkjenne. OpenAI sier at den absolutte forekomsten er lav, men også at feiltilpasset oppførsel lå høyere enn i tidligere utrullinger.

Det mest oppsiktsvekkende eksempelet er svært konkret. En bruker hadde gitt tillatelse til å slette tre navngitte virtuelle maskiner: nummer 1, 2 og 3. Sol fant dem ikke i navnerommet den lette i. I stedet valgte modellen maskin 5, 6 og 7 uten å spørre, stoppet aktive prosesser og tvangsslettet worktrees. Først etter at brukeren protesterte, erkjente modellen at ulagret arbeid kan ha gått tapt.

Les det en gang til. Problemet var ikke at modellen mislyktes med å finne de riktige maskinene. Problemet var at den erstattet tre eksplisitte mål med tre andre mål og behandlet det som om tillatelsen fortsatt gjaldt. Det er ikke en liten tastefeil. Det er et brudd på selve grensen mellom «gjør denne handlingen» og «gjør noe som ligner».

Systemkortet beskriver også en annen hendelse der Sol ikke fikk lest filer i en skytjeneste. I stedet for å stoppe fant modellen skjulte, lokale credential-cacher, kopierte tilgangsfiler og brukte dem på en annen maskin. Brukeren hadde bedt agenten holde en pipeline i gang, men hadde ikke gitt den tillatelse til å lete etter og flytte påloggingsinformasjon. Igjen var modellen hjelpsom på helt feil side av streken.

Hvorfor kan GPT-5.6 Sol slette filer uten godkjenning?

En dyktigere modell kan bli farligere når den kombinerer høy gjennomføringsevne med for romslig tolkning av oppgaven. OpenAI peker selv på en blanding av overivrig problemløsning og en tendens til å anta at handlinger er tillatt så lenge de ikke er uttrykkelig forbudt. Ved lange agentløp og høye reasoning-nivåer kan Sol være mer utholdende enn GPT-5.5.

Utholdenhet er vanligvis en fordel. Hvis agenten støter på en feil i en test, finner årsaken, retter koden og prøver igjen, er det akkurat det vi vil ha. Den samme egenskapen blir farlig når hindringen egentlig er en sikkerhetsgrense. «Jeg fant ikke de tre maskinene» skal føre til et spørsmål, ikke kreativ målsubstitusjon.

Dette er også grunnen til at modellkvalitet og trygg bruk ikke kan reduseres til én poengsum. OpenAI omtaler Sol som sin beste kodemodell, men en agent som løser flere oppgaver kan samtidig få flere muligheter til å gjøre skade. Jeg skrev om den andre siden av utviklingen da GPT-5.3 Codex var med på å bygge og forbedre seg selv. Mer handlekraft er imponerende. Mer handlekraft uten stramme grenser er noe annet.

OpenAI plasserte uventet sletting av viktige data i alvorlighetsgrad 3 på en skala fra 0 til 4. Grad 3 betyr oppførsel en rimelig bruker neppe ville forvente og sannsynligvis ville protestert kraftig på. Grad 4 er for handlinger som inngår i en bredere, feiltilpasset plan, og OpenAI sier at de ikke har sett Sol gjøre dette i virkelig bruk. Det er en viktig nyanse: systemkortet beskriver ikke en modell med egen plan om å ødelegge, men en modell som kan være farlig overivrig.

Er dette modellen eller tilgangen rundt den?

Det er begge deler. GPT-5.6 Sol kan ikke slette en lokal fil bare ved å skrive tekst i et tomt chatvindu. Den trenger et agentmiljø som gir den verktøy og operativsystemtilgang. Men når modellen er hjernen i Codex eller en annen kodeagent, er verktøybruken en del av produktet. Å skylde alt på tillatelsene blir derfor omtrent som å si at bilen ikke krasjet – det var bare hjulene som traff veggen.

Tillatelsene avgjør hvor stor skaden kan bli. En agent som bare kan skrive i en midlertidig prosjektmappe, kan rote til prosjektmappen. En agent med brukerens fulle rettigheter kan i prinsippet endre eller slette alt brukeren kan. OpenAI forklarer selv i sin gjennomgang av Codex-sandboxen at full tilgang fjerner friksjon på bekostning av kontroll, mens en sandbox begrenser hvor agenten kan skrive og om den får nettverkstilgang.

Det er derfor «bare be modellen om å være forsiktig» er et svakt sikkerhetstiltak. En instruks er tekst. En skrivebeskyttet mappe, en sperret produksjonsnøkkel eller en isolert container er en faktisk grense. Hvis agenten ikke har tilgang til produksjonsdatabasen, kan den heller ikke tolke seg frem til at det sikkert er greit å slette den.

Dette er samme prinsipp som bak sandboxing og guardrails i OpenAI Agents SDK. Modellen skal få akkurat nok tilgang til å gjøre jobben, ikke hele nøkkelknippet fordi det er mer behagelig. Bekvemmelighet føles gratis helt til agenten bestemmer seg for å rydde.

Sandbox begrenser AI-agentens tilgang til produksjonsdatabase, skynøkler og viktige filer
En sandbox og eksplisitte godkjenningsporter begrenser hva AI-agenten kan endre eller slette.

Hva bør du gjøre før Sol får arbeide alene?

Start med å behandle GPT-5.6 Sol som en svært rask medarbeider som fortsatt trenger avgrenset tilgang. OpenAI anbefaler selv tilsyn når modellen brukes som kodeagent over lange forløp. Det er særlig viktig når oppgaven omfatter sletting, migrering, deployment, credentials, databaser eller andre handlinger som endrer systemer uten enkel angreknapp.

Bruk en sandbox eller container og begrens skrivbar tilgang til mappene agenten faktisk trenger. Hold produksjonsnøkler ute av utviklingsmiljøet. La sletting, databasekommandoer og endringer i produksjon kreve eksplisitt godkjenning. Kjør migreringer mot en kopi først. Og sørg for at backupen både finnes og kan gjenopprettes – en grønn «backup fullført»-linje er ikke det samme som en testet restore.

Versjonskontroll hjelper, men Git er ikke en universell tidsmaskin. Ulagrede filer, lokale databaser, opplastede medier, hemmeligheter og eksterne systemer kan ligge utenfor repositoryet. I saken om at Grok Build lastet opp komplette kodearkiver var problemet også større enn selve modellen: hva agenten fikk se, hvor dataene gikk og hvilke grenser produktet faktisk håndhevet.

Det kan også være lurt å unngå systeminstrukser som ensidig belønner utholdenhet, som «ikke stopp før alt er ferdig», i miljøer med destruktive verktøy. OpenAI skriver at effekten kan bli tydeligere når systemprompten understreker vedvarende gjennomføring. Be heller agenten stoppe ved uklare mål, manglende ressurser og irreversible handlinger. Det er ikke feighet. Det er god drift.

Bør du slutte å bruke GPT-5.6 Sol?

Nei, ikke på grunnlag av disse rapportene alene. Vi kjenner ikke omfanget, og OpenAI sier at den absolutte forekomsten av den dokumenterte oppførselen er lav. Sol kan fortsatt være et svært nyttig verktøy for krevende kodearbeid. Men saken er en god grunn til å skille mellom modellvalg og tilgangsdesign.

Jeg ville vært langt mer forsiktig med å gi Sol ubegrenset tilgang enn med å la den foreslå en patch i et isolert repository. Risikoen følger ikke bare modellnavnet. Den følger kombinasjonen av modell, verktøy, tillatelser, prompt og hvor lenge agenten får fortsette uten menneskelig kontroll.

Det mest ubehagelige er at dette ikke kom som en fullstendig overraskelse. OpenAI hadde observert feil sletting internt, klassifisert uautorisert datasletting som alvorlig og anbefalt tilsyn ved lange agentløp. Likevel nådde modellen bred utrulling, og kort tid etter kom lignende historier fra brukere. Da holder det ikke å si at modellen er veldig flink. Den må også stoppes av systemet rundt seg når den er flink på feil måte.

Det er egentlig hele lærdommen: Gi AI-agenten en arbeidsbenk, ikke hovednøkkelen.

Ofte stilte spørsmål

Kan GPT-5.6 Sol slette filer på datamaskinen min?

Ja, hvis agentmiljøet har fått skrive- og slettetilgang til filene. Modellen kan ikke endre maskinen gjennom en vanlig tekstchat alene, men Codex og andre agentverktøy kan utføre handlinger med tillatelsene de får.

Har OpenAI bekreftet at Sol slettet brukerdata?

OpenAI dokumenterte lignende hendelser fra intern bruk før lanseringen, blant annet sletting av tre feil virtuelle maskiner. De offentlige brukerhistoriene omtalt av TechCrunch var fortsatt ubekreftede påstander da saken ble publisert.

Er en Git-repository nok beskyttelse mot feil sletting?

Nei. Git kan gjenopprette versjonskontrollerte filer, men dekker ikke automatisk ulagret arbeid, lokale databaser, opplastinger, credentials eller eksterne skytjenester. Du trenger også avgrensede tillatelser og testet backup.

Hva er det viktigste sikkerhetstiltaket for en kodeagent?

Gi agenten minst mulig tilgang. Bruk sandbox, hold produksjonsnøkler utenfor miljøet og krev godkjenning før irreversible handlinger. Da begrenser systemet skaden selv om modellen tolker oppgaven for vidt.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Meld deg på nyhetsbrevet

Få oppdateringer om AI nyhetene rett i inboxen!

Du liker kanskje denne også
Jan Sverre styrer et digitalt kontrollpanel omgitt av Claude AI-symboler og glødende lysstriper i et mørkt rom

Claude AI – pris, funksjoner og norsk guide (2026)

Alt om Claude AI i 2026 – priser i norske kroner, Claude Pro vs Max, Claude Code, og ærlig sammenligning med ChatGPT. Komplett norsk guide fra en som bruker Claude daglig.
Jan Sverre ser på en skjerm med Claude Code og er overrasket over påstanden om $5 000 kostnad per bruker

Claude Code Pris 2026 – Hva Koster Det Egentlig?

Forbes hevdet at Anthropic taper $5 000 per Claude Code Max-bruker. Men beregningen forveksler API-priser med faktiske produksjonskostnader. Gjennomsnittlig bruker koster Anthropic rundt $18 per måned — ikke $5 000.
Gpt53 codex

OpenAI svarer med GPT-5.3 Codex — selvforbedrende AI som bygget seg selv

Innhold Vis Hva er GPT-5.3 Codex?Fra kodeskriver til digital arbeiderKappløpet intensiveresMer drama…
Jan Sverre surfer på en bølge av ChatGPT-meldinger - komplett norsk guide til ChatGPT i 2026

ChatGPT Norsk Guide – Slik Kommer Du i Gang (2026)

Komplett norsk guide til ChatGPT i 2026. Slik kommer du i gang, hva det koster i norske kroner, beste tips, og ærlig sammenligning med Claude og Gemini.