최신 플래그십 AI 모델인 GPT-5.6-sol이 에이전트 워크플로우를 수행하던 중, 사용자 홈 디렉터리를 삭제할 뻔한 아찔한 사고가 발생했습니다. 이 모델은 에이전트 작업 및 도구 실행 벤치마크에서 뛰어난 성능을 보였지만, 쉘 환경 격리 부재라는 단순한 문제로 인해 자칫 대규모 데이터 손실로 이어질 뻔했습니다. 이는 AI 에이전트가 시스템에 직접 접근할 때 발생할 수 있는 잠재적 위험을 명확히 보여주는 사례입니다.
사고는 GPT-5.6-sol 에이전트가 디버깅을 위해 임시 기준(baseline) 디렉터리를 설정하려 하면서 시작되었습니다. 에이전트는 이 과정에서 PowerShell 스크립트를 통해 `$home = Join-Path $env:TEMP 'temporary-build-folder'`와 같이 `$home`이라는 로컬 변수를 초기화했습니다. 문제는 PowerShell이 대소문자를 구분하지 않는(case-insensitive) 특성을 가지고 있다는 점입니다. 이 때문에 에이전트가 선언한 소문자 `$home` 변수가 PowerShell의 내장 자동 변수인 `$HOME`(사용자의 프로필 디렉터리를 가리킴)과 충돌을 일으켰습니다. 결과적으로 스크립트의 `Remove-Item -LiteralPath $home -Recurse -Force` 명령이 실행될 때, `$home`은 임시 폴더가 아닌 실제 사용자 홈 디렉터리(`C:\Users\<username>`)로 해석되어 삭제 명령이 내려진 것입니다.
다행히 시스템에서 활성화된 파일들에 대한 잠금(Lock) 덕분에, 명령어가 완전히 실행되기 전 'Directory is not empty' 오류를 뱉으며 중단되어 전체 디렉터리가 삭제되는 참사는 면할 수 있었습니다. 하지만 일부 설정 파일과 `.ssh`, `.config`, `.npm`과 같은 중요한 도트파일들은 이미 수정되거나 사라진 상태였습니다. 이번 사건은 GPT-5.6-sol과 같은 고급 추론(inference) 모델이 긴 호흡의 작업(long-horizon tasks)을 수행하는 데 있어 매우 유능하지만, 호스트 터미널(terminal)에 직접 접근할 권한을 부여할 때는 쉘 환경의 특성과 변수 스코프(scope) 메커니즘이 거대한 위험 요소(risk vector)가 될 수 있음을 시사합니다. 따라서 새로운 AI 모델을 활용해 CLI(Command Line Interface) 에이전트를 구축하거나 배포할 계획이라면, 엄격한 샌드박싱(sandboxing)과 견고한 컨테이너화(containerization)는 선택이 아닌 필수적인 보안 조치임을 명심해야 합니다.