Un bug de journalisation de Codex peut provoquer des écritures de plusieurs To sur le SSD local et en user rapidement la durée de vie

• Codex écrit en continu de gros volumes de données dans la base de logs de feedback SQLite locale, et dans un environnement utilisateur, environ 37 To ont été écrits sur le SSD principal après 21 jours de fonctionnement
• Rapporté sur un an, cela représente environ 640 To, soit environ 640 écritures complètes du disque par an pour un SSD de 1 To, ce qui peut épuiser en moins d’un an l’endurance garantie de certains SSD grand public (environ 600 TBW)
• Bien qu’environ 500 000 lignes seulement soient conservées, le compteur AUTOINCREMENT dépasse 5,5 milliards d’ID, soit un écart d’environ 10 000x entre les lignes conservées et les ID d’insertion cumulés
• La cause est que le sink de logs de feedback SQLite est configuré avec la valeur globale TRACE par défaut (Targets::new().with_default(Level::TRACE)), ce qui enregistre de façon persistante à la fois les logs internes des dépendances et les payloads bruts volumineux du protocole
• Le problème a été clos après la fusion de deux PR le 22 juin 2026, qui ont bloqué environ 85 % des logs

Symptômes clés et périmètre d’impact

• Codex génère en continu d’importantes écritures dans les fichiers suivants
  • ~/.codex/logs_2.sqlite
  • ~/.codex/logs_2.sqlite-wal
  • ~/.codex/logs_2.sqlite-shm
• Après 21 jours de fonctionnement, environ 37 To ont été écrits sur le SSD principal, et l’inspection par processus/fichier a confirmé que les logs SQLite de Codex étaient la principale source d’écritures persistantes
• Cela correspond à environ 640 To par an, soit approximativement 640 écritures complètes du disque par an pour un SSD de 1 To
• Certains SSD grand public sont donnés pour environ 600 TBW, ce qui peut épuiser leur endurance d’écriture garantie en moins d’un an

Données probantes

• Evidence1 — amplification d’écriture (write amplification)

  • Taille actuelle du fichier logs_2.sqlite : 1,2 GiB
  • Lignes actuellement conservées : 506 149
  • row id cumulés alloués : 5 543 677 486
  • L’écart d’environ 10 000x entre les lignes conservées (environ 0,5 M) et les ID d’insertion cumulés (plus de 5,5 milliards) suggère plus de 10 To de churn historique des logs, même en excluant le WAL, les index, le pruning, les checkpoints, les réécritures de pages et l’amplification au niveau du périphérique

• Evidence2 — répartition par niveau/cible

  • 681 774 lignes conservées, pour un contenu de logs conservés estimé à environ 1 035,6 MiB
  • Répartition par niveau : TRACE 70,7 %, INFO 25,7 %, DEBUG 3,0 %, WARN 0,6 %
  • Principales paires target+level
    • codex_api::endpoint::responses_websocket (TRACE) 527,4 MiB
    • codex_otel.log_only (INFO) 141,2 MiB
    • codex_otel.trace_safe (INFO) 121,2 MiB
    • log (TRACE) 97,4 MiB
  • Les principales sources sont surtout le logging global TRACE, les logs de télémétrie dupliqués, et l’enregistrement des payloads bruts websocket/SSE
  • codex_otel.log_only + codex_otel.trace_safe représentent en plus 25,3 %, et filtrer ces catégories permettrait de supprimer environ 96 % des octets de logs conservés dans l’échantillon
  • La source TRACE la plus fréquente (target=log) contient de nombreux éléments bas niveau comme des inotify event (par ex. ld.so.cache 128 764 fois), des appels internes à tokio-tungstenite, ou des WouldBlock

• Mesure de l’amplification d’écriture

  • Sur un échantillon de 15 secondes, le nombre de lignes conservées est resté stable à 681 774, tandis qu’environ 36 211 lignes ont été insérées
  • Cela montre un schéma insert-and-prune répété — insertion → indexation → écriture WAL → pruning — qui provoque l’amplification d’écriture

Cause estimée

• Le sink de logs de feedback SQLite est installé avec la valeur globale TRACE par défaut (Targets::new().with_default(Level::TRACE))
• En conséquence, toutes les cibles sont stockées de façon persistante au niveau TRACE, y compris les logs internes/des dépendances et les payloads bruts volumineux du protocole

Orientation de correction proposée

• Conserver les logs de feedback, mais réduire le périmètre de stockage persistant par défaut
  • ne pas utiliser TRACE global pour le sink de logs de feedback SQLite
  • relever le seuil ou supprimer le bruit à faible valeur comme target=log, hyper_util, les internes de tokio-tungstenite, le spam inotify, et les logs bas niveau du SDK OpenTelemetry
  • au lieu de stocker l’intégralité des payloads bruts websocket/SSE, enregistrer un résumé (type d’événement, durée, succès/échec, consommation de tokens, taille du payload en octets)
  • éviter de stocker les événements miroir codex_otel.log_only / codex_otel.trace_safe, sauf lorsqu’ils sont réellement utiles au débogage
  • un simple plafond par thread ne suffit pas ; il faut ajouter une limite globale de taille/écriture pour la base de logs
• Une option comme sqlite_logs_enabled = false serait aussi utile, mais la solution centrale reste un meilleur filtrage par défaut

Rapports de reproduction multiplateforme

• macOS

  • Sur macOS 15.7.7 / Codex 26.616.51431, logs_2.sqlite fait 113 M, MAX(id)=34,277,360 pour 31 405 lignes conservées, et deux échantillons de 60 secondes ont confirmé environ 60 écritures par seconde
  • Un cas a signalé environ 50 Go écrits par le processus codex pendant une session de 1 à 2 heures

• Windows

  • Sur Codex Desktop pour Windows (codex.exe app-server --analytics-default-enabled), des lignes TRACE continuent d’être insérées même sans RUST_LOG=warn ni configuration explicite de trace
  • Environ 71k lignes conservées, et la valeur logs dans sqlite_sequence dépasse 18,5 millions, indiquant de nombreux cycles historiques d’insert/prune
  • Sur une distribution de 10 minutes, on compte 1 812 lignes TRACE, avec parmi les principales cibles TRACE codex_api::endpoint::responses_websocket (3,5MB+), ainsi que codex_api::sse::responses
  • Comportement attendu : avec RUST_LOG=warn, les TRACE internes/des dépendances et les payloads volumineux ne devraient pas être stockés de façon persistante

Risques supplémentaires et mesures temporaires d’atténuation

• Risque de perte de données

  • Si le disque est plein au redémarrage, la connexion Linux peut échouer
  • Le mode Codex /goal peut tenter de libérer de l’espace disque en supprimant des fichiers/dossiers, ce qui peut entraîner une perte de données

• Scripts temporaires d’atténuation

  • trim-codex-wal.sh, qui réduit le WAL en cours d’exécution via PRAGMA wal_checkpoint(TRUNCATE), peut être exécuté toutes les 15 minutes via cron
  • fix-codex-wal.sh, qui supprime les fichiers de log/WAL puis envoie SIGTERM → SIGKILL aux processus liés à Codex pour libérer immédiatement de l’espace disque
  • L’ajout d’un trigger SQLite (block_log_inserts) qui ignore les insertions dans la table logs stoppe la croissance du WAL ; pour revenir en arrière, utiliser DROP TRIGGER IF EXISTS block_log_inserts
    • Comme VACUUM réécrit la base, il peut provoquer une grosse écriture ponctuelle sur les gros fichiers ; il est donc recommandé d’ajouter d’abord le trigger, de confirmer l’arrêt de la croissance du WAL, puis d’exécuter DELETE/VACUUM
    • Comme il s’agit d’une modification d’un schéma SQLite privé, une future mise à jour/migration de Codex pourrait recréer les tables, supprimer le trigger, etc.
  • En attendant une correction permanente, il est aussi proposé de placer cette base sur un ramdisk pour éviter d’endommager le SSD

Correction et clôture

• Le 22 juin 2026, la fusion de deux PR a réduit les logs d’environ 85 %, ce qui a permis de marquer l’issue comme résolue
  • arrêt de toute journalisation des événements Responses WebSocket (#29432)
  • filtrage des cibles bruitées dans les logs persistants (#29457)
• Un patch proposé séparément remplace le TRACE global par un stockage par défaut en INFO+, et relève à WARN+ des cibles comme codex_otel.log_only, codex_otel.trace_safe, hyper_util, log, opentelemetry_sdk, etc.
• Les correctifs ont été publiés dans rust-v0.142.0