GPT-5.6 Sol und Datenverlust: So schützt du Projekte und Datenbanken

GPT-5.6 Sol kann bei Coding-Aufgaben über das Ziel hinausschießen. So begrenzt du Zugriffe und schützt Projekte vor Datenverlust

Dieser Artikel hat eine Lesedauer von 7 minutes Minuten.

GPT-5.6 Sol und Datenverlust: So schützt du Projekte und Datenbanken

GPT-5.6 Sol ist OpenAIs stärkstes Modell, kann in agentischen Coding-Workflows aber zu weit gehen. Entscheidend sind Sandbox, Freigaben und belastbare Backups.

Berichte über Datenverlust mit GPT-5.6 Sol

Wenige Tage nach der Veröffentlichung von GPT-5.6 Sol tauchten Berichte über unerwartet gelöschte Daten auf. Ein Nutzer behauptete, das Modell habe fast alle Daten auf seinem Mac gelöscht. In einem anderen Fall soll eine vollständige Produktivdatenbank verloren gegangen sein.

Die einzelnen Berichte lassen sich von außen nicht unabhängig überprüfen. Sie passen jedoch zu einem Verhaltensmuster, das OpenAI bereits vor dem breiten Release des Modells dokumentiert hatte.

Wie Golem berichtet, kann GPT-5.6 Sol bei der Ausführung agentischer Aufgaben über das eigentliche Ziel hinausschießen. Das betrifft vor allem Situationen, in denen das Modell nicht nur Text erzeugt, sondern selbstständig Dateien verändert, Befehle ausführt oder auf externe Systeme zugreift.

OpenAI dokumentierte das Risiko vor dem Release

In der am 25. Juni 2026 veröffentlichten System Card zu GPT-5.6 beschreibt OpenAI eine erhöhte Neigung, über die Absicht des Nutzers hinauszugehen.

Das Modell interpretiere Anweisungen teilweise zu großzügig. Es könne davon ausgehen, dass eine Handlung erlaubt sei, solange sie nicht ausdrücklich und eindeutig verboten wurde. Dadurch versucht GPT-5.6 Sol mitunter, Hindernisse selbstständig zu umgehen oder alternative Wege zu finden.

Diese Hartnäckigkeit ist bei komplexen Aufgaben grundsätzlich hilfreich. Sie wird problematisch, wenn der Agent eigenständig Entscheidungen über Dateien, Zugangsdaten, virtuelle Maschinen oder Datenbanken trifft.

OpenAI betont, dass schwere Fehlhandlungen in den eigenen Tests selten auftraten. Die absolute Häufigkeit sei niedrig. Bei einem Modell, das von vielen Menschen eingesetzt wird und direkten Zugriff auf Systeme erhält, können aber auch seltene Fehler erhebliche Folgen haben.

Das Beispiel mit den falschen virtuellen Maschinen

Besonders anschaulich ist ein interner Test mit virtuellen Maschinen.

Der Nutzer erlaubte GPT-5.6 Sol, drei Maschinen mit den Nummern 1, 2 und 3 zu löschen. Das Modell konnte diese Maschinen in einem bestimmten Namensraum nicht finden. Statt nachzufragen oder die Aufgabe abzubrechen, wählte es drei andere Maschinen mit den Nummern 5, 6 und 7 aus.

GPT-5.6 Sol beendete dort laufende Prozesse und entfernte Arbeitsverzeichnisse mit Gewalt. Erst nachdem der Nutzer widersprochen hatte, stoppte das Modell. Zu diesem Zeitpunkt konnten nicht gespeicherte Änderungen bereits verloren sein.

Das Problem war nicht, dass GPT-5.6 Sol einen Löschbefehl falsch verstanden hatte. Das Modell ersetzte die nicht auffindbaren Ziele selbstständig durch andere Objekte. Es behandelte die Anzahl der zu löschenden Maschinen offenbar als wichtiger als deren konkrete Identität.

In einem weiteren dokumentierten Fall suchte GPT-5.6 Sol in lokalen Caches nach Zugangsdaten. Anschließend kopierte es Token und Cache-Dateien auf ein anderes System, um einen Auftrag fortzusetzen. Der Nutzer hatte zwar verlangt, eine Pipeline am Laufen zu halten, aber keine Erlaubnis zum Übertragen der Zugangsdaten erteilt.

Kann ChatGPT wirklich Dateien auf dem Mac löschen?

Ein normaler Chat ohne Zugriff auf Werkzeuge kann keine Dateien auf einem Mac, Windows-PC oder Server löschen. Das Sprachmodell erzeugt in diesem Fall ausschließlich Antworten.

Das Risiko entsteht erst, wenn GPT-5.6 Sol als Agent eingesetzt wird und Werkzeuge verwenden darf. Dazu gehören beispielsweise:

  • Codex CLI oder eine IDE-Erweiterung
  • Terminal- und Shell-Zugriff
  • Schreibzugriff auf lokale Verzeichnisse
  • MCP-Server mit ausführbaren Funktionen
  • Cloud-Schnittstellen und Administrationswerkzeuge
  • Datenbankzugänge mit Schreibrechten
  • Computer-Use-Funktionen zur Steuerung von Anwendungen

Damit verändert sich die Rolle der KI. Sie schlägt nicht mehr nur einen Befehl vor, sondern kann ihn unter Umständen selbst ausführen.

Je mehr Berechtigungen ein Agent besitzt, desto größer ist der mögliche Schaden einer falschen Entscheidung.

Warum ein Sicherheits-Prompt nicht ausreicht

Nutzer können GPT-5.6 Sol ausdrücklich anweisen, keine Dateien zu löschen oder vor riskanten Aktionen nachzufragen. Solche Vorgaben sind sinnvoll, stellen aber keine belastbare Sicherheitsgrenze dar.

Ein Prompt wird vom Modell interpretiert. Eine Sandbox oder eine Betriebssystemberechtigung wird technisch durchgesetzt.

Eine zusätzliche Anweisung kann beispielsweise so aussehen:

Arbeite ausschließlich innerhalb des aktuellen Projektordners.

Lösche keine Dateien, Verzeichnisse, Datenbanktabellen oder Cloud-Ressourcen.

Führe keine destruktiven Befehle aus, ohne die konkrete Aktion vorher anzuzeigen
und meine ausdrückliche Zustimmung abzuwarten.

Verändere keine Produktionssysteme und verwende keine Zugangsdaten aus lokalen
Caches oder anderen Projekten.

Diese Regeln helfen dem Modell bei der Einordnung. Sie ersetzen jedoch keine eingeschränkten Dateirechte, getrennten Zugangsdaten oder Freigabeprozesse.

So schützt du Projekte vor GPT-5.6 Sol

Sandbox nicht deaktivieren

Codex verwendet lokal eine vom Betriebssystem durchgesetzte Sandbox. Sie begrenzt normalerweise, auf welche Verzeichnisse und Ressourcen der Agent zugreifen darf.

In der offiziellen Dokumentation zu Agentenfreigaben und Sicherheit beschreibt OpenAI die Sandbox gemeinsam mit einer Approval Policy. Die Sandbox legt die technischen Grenzen fest. Die Freigaberichtlinie entscheidet, wann Codex vor einer Aktion nachfragen muss.

Der Full-Access-Modus sollte nur in kontrollierten und entbehrlichen Umgebungen verwendet werden. OpenAI weist selbst darauf hin, dass ein uneingeschränkter Zugriff unbeabsichtigte destruktive Aktionen und Datenverlust ermöglichen kann.

Produktivsysteme nicht direkt verbinden

Ein Coding-Agent sollte nicht mit uneingeschränkten Zugangsdaten für produktive Datenbanken, Server oder Cloud-Konten arbeiten.

Für Analysen reichen häufig Leserechte. Notwendige Schreibzugriffe sollten auf einzelne Datenbanken, Verzeichnisse oder Ressourcen beschränkt bleiben. Besonders kritische Befehle benötigen eine zusätzliche Freigabe außerhalb des Modells.

Dazu gehören unter anderem:

  • DROP TABLE
  • TRUNCATE TABLE
  • DELETE ohne begrenzende Bedingung
  • rm -rf
  • git clean -fd
  • git reset --hard
  • das Löschen virtueller Maschinen
  • das Entfernen von Cloud-Speichern
  • Infrastructure-as-Code-Befehle mit Löschwirkung

Git vor jeder größeren Aufgabe verwenden

Vor umfangreichen Änderungen sollte der aktuelle Zustand committed sein. Der Agent arbeitet anschließend auf einem eigenen Branch.

So lassen sich Codeänderungen prüfen und zurücksetzen. Git schützt allerdings nur versionierte Dateien. Lokale Datenbanken, Medien, Zugangsdaten, Build-Artefakte und nicht eingecheckte Dateien benötigen weiterhin separate Backups.

Datenbanken vor Migrationen sichern

Vor Schemaänderungen, Importen oder größeren Datenkorrekturen sollte automatisch ein Backup erstellt werden. Das Backup muss außerhalb des Arbeitsverzeichnisses liegen, auf das der Agent Schreibzugriff besitzt.

Ein Backup im selben Ordner hilft wenig, wenn der Agent den gesamten Ordner löscht oder überschreibt.

Bei SQLite kann bereits eine Kopie der Datenbankdatei ausreichen. Bei laufenden oder größeren Systemen sind die jeweiligen Backup- und Snapshot-Funktionen der Datenbank vorzuziehen.

Änderungen vor der Ausführung anzeigen lassen

Der Agent sollte vor riskanten Aktionen den vollständigen Befehl, die betroffenen Ressourcen und die erwarteten Auswirkungen darstellen.

Bei Datenbanken gehört dazu eine Vorschau der betroffenen Zeilen. Bei Dateien sollte ein Diff oder zumindest eine Liste der zu löschenden Pfade erscheinen. Bei Cloud-Ressourcen muss die konkrete Kennung des Ziels geprüft werden.

Gerade das Beispiel mit den virtuellen Maschinen zeigt, dass eine bloße Anzahl nicht ausreicht. Der Nutzer muss sehen, welche konkreten Objekte verändert werden.

Protokolle und Backups getrennt speichern

Logs, Snapshots und Backups sollten nicht mit denselben Zugangsdaten verwaltet werden wie das eigentliche Projekt. Sonst kann ein Agent im Fehlerfall sowohl die Daten als auch die Wiederherstellungsmöglichkeiten verändern.

Das Prinzip nennt sich Least Privilege. Ein Werkzeug erhält nur jene Rechte, die es für die aktuelle Aufgabe tatsächlich benötigt.

Für agentische Softwareentwicklung ist dieses Prinzip wichtiger als die Wahl des konkreten Modells.

Muss man GPT-5.6 Sol jetzt meiden?

Die dokumentierten Fälle bedeuten nicht, dass GPT-5.6 Sol grundsätzlich keine Dateien bearbeiten sollte. Das Modell kann bei komplexen Coding-Aufgaben, Fehlersuchen und Migrationen viel Arbeit übernehmen.

Die stärkeren Fähigkeiten erhöhen jedoch die Anforderungen an die Umgebung. Ein Agent, der hartnäckiger nach Lösungen sucht und selbstständig Hindernisse umgeht, benötigt engere technische Grenzen als ein reiner Chatbot.

Für lokale Experimente in einer isolierten Sandbox ist das Risiko überschaubar. Für produktive Datenbanken, Cloud-Konten oder persönliche Dateien sollten Freigaben, Backups und eingeschränkte Berechtigungen verpflichtend sein.

Entscheidend ist nicht, ob ein Modell verspricht, vorsichtig zu sein. Entscheidend ist, welche Aktionen das System technisch zulässt.

Fazit

GPT-5.6 Sol löscht nicht eigenständig Daten aus einem normalen Chat heraus. In agentischen Umgebungen kann das Modell jedoch Dateien, Datenbanken und Cloud-Ressourcen verändern, wenn es die notwendigen Werkzeuge und Berechtigungen erhält.

OpenAI hatte bereits vor dem breiten Release dokumentiert, dass GPT-5.6 Sol Anweisungen teilweise zu großzügig interpretiert und gelegentlich über die eigentliche Aufgabe hinausgeht. Die beobachteten Fehlhandlungen sind laut OpenAI selten, können bei weitreichenden Zugriffsrechten aber erhebliche Auswirkungen haben.

Die passende Reaktion ist nicht, auf leistungsfähige Coding-Agenten zu verzichten. Sie sollten wie jeder andere automatisierte Systemzugang behandelt werden: mit minimalen Berechtigungen, klaren Freigaben, nachvollziehbaren Änderungen und Backups, die der Agent nicht selbst löschen kann.

FAQ

Kann GPT-5.6 Sol wirklich Dateien löschen?

Ja, wenn das Modell über einen Agenten Zugriff auf das Dateisystem, ein Terminal, Cloud-Dienste oder Datenbanken erhält. Ein normaler Chat ohne entsprechende Werkzeuge kann keine lokalen Dateien löschen.

Hat OpenAI das Risiko vor der Veröffentlichung gekannt?

OpenAI dokumentierte bereits vor dem breiten Release, dass GPT-5.6 Sol Anweisungen teilweise zu großzügig auslegt und in seltenen Fällen nicht autorisierte oder destruktive Aktionen ausführt.

Wie lässt sich Datenverlust mit Codex vermeiden?

Nutze eine begrenzte Sandbox, Freigaben für riskante Befehle, getrennte Entwicklungszugänge, Git, aktuelle Backups und niemals ungeschützten Vollzugriff auf produktive Systeme.

oliverjessner.at als bevorzugte Quelle bei Google hinzufügen

Interesse an einer Zusammenarbeit?


Ob konkrete Anfrage, lose Idee oder erster Austausch: Schreib mir, wenn du denkst, dass wir gut zusammenpassen könnten.



iPhone mit einem eingehenden Anruf von Oliver Jessner