Codex-Logging-Bug kann Schreibvorgänge im TB-Bereich auf lokalen SSDs verursachen und die SSD-Lebensdauer schnell aufbrauchen

• Codex schreibt fortlaufend große Datenmengen in eine lokale SQLite-Feedback-Log-DB; in einer Benutzerumgebung wurden nach 21 Tagen Laufzeit etwa 37 TB auf die Haupt-SSD geschrieben
• Hochgerechnet entspricht das etwa 640 TB pro Jahr, also bei einer 1-TB-SSD rund 640 vollständigen Laufwerksschreibvorgängen pro Jahr; damit könnte die garantierte Lebensdauer mancher Consumer-SSDs (ca. 600 TBW) in weniger als einem Jahr aufgebraucht werden
• Es werden nur etwa 500.000 Zeilen aufbewahrt, aber der AUTOINCREMENT-Zähler überschritt 5,5 Milliarden IDs, was auf eine Lücke von etwa dem 10.000-Fachen zwischen aufbewahrten Zeilen und kumulativen Insert-IDs hinweist
• Ursache ist, dass der SQLite-Feedback-Log-Sink mit dem globalen TRACE-Standardwert (Targets::new().with_default(Level::TRACE)) konfiguriert wurde und dadurch interne Logs aus Abhängigkeiten sowie große rohe Protokoll-Payloads dauerhaft mitschreibt
• Am 22. Juni 2026 wurden zwei PRs zusammengeführt, die etwa 85 % der Logs blockieren; damit wurde das Issue geschlossen

Zentrale Symptome und Auswirkungsbereich

• Codex verursacht fortlaufend große Schreibvorgänge in folgenden Dateien
  • ~/.codex/logs_2.sqlite
  • ~/.codex/logs_2.sqlite-wal
  • ~/.codex/logs_2.sqlite-shm
• Nach 21 Tagen Laufzeit wurden etwa 37 TB auf die Haupt-SSD geschrieben; Prüfungen auf Prozess- und Dateiebene bestätigten das Codex-SQLite-Log als wesentliche Quelle dauerhafter Schreibvorgänge
• Auf ein Jahr hochgerechnet etwa 640 TB, was bei einer 1-TB-SSD ungefähr 640 vollständigen Laufwerksschreibvorgängen pro Jahr entspricht
• Manche Consumer-SSDs sind nur für etwa 600 TBW ausgelegt, sodass ihre garantierte Schreib-Lebensdauer in weniger als einem Jahr erreicht werden könnte

Belegdaten

• Evidence1 — Schreibverstärkung (write amplification)

  • Aktuelle Größe der Datei logs_2.sqlite: 1,2 GiB
  • Aktuell aufbewahrte Zeilen: 506.149
  • Kumulativ vergebene Row-ID: 5.543.677.486
  • Zwischen aufbewahrten Zeilen (ca. 0,5 Mio.) und kumulativen Insert-IDs (5,5 Mrd.+) besteht ein Abstand von etwa dem 10.000-Fachen; selbst ohne WAL, Indizes, Pruning, Checkpoints, Seiten-Rewrites und gerätebedingte Verstärkung wird ein historischer Log-Churn im Umfang von über 10 TB geschätzt

• Evidence2 — Verteilung nach Level/Ziel

  • 681.774 aufbewahrte Zeilen, geschätzter Inhalt der aufbewahrten Logs etwa 1.035,6 MiB
  • Anteil nach Level: TRACE 70,7 %, INFO 25,7 %, DEBUG 3,0 %, WARN 0,6 %
  • Größte target+level-Paare
    • codex_api::endpoint::responses_websocket (TRACE) 527,4 MiB
    • codex_otel.log_only (INFO) 141,2 MiB
    • codex_otel.trace_safe (INFO) 121,2 MiB
    • log (TRACE) 97,4 MiB
  • Die Hauptquellen sind globale TRACE-Logs, gespiegelte Telemetrie-Logs und das Mitschreiben roher WebSocket-/SSE-Payloads
  • codex_otel.log_only + codex_otel.trace_safe machen zusätzlich 25,3 % aus; durch Filterung dieser Kategorien ließen sich in der Stichprobe etwa 96 % der Bytes aufbewahrter Logs entfernen
  • Die häufigste TRACE-Quelle (target=log) umfasst viele Low-Level-Einträge wie inotify event (z. B. ld.so.cache 128.764-mal), interne Aufrufe von tokio-tungstenite und WouldBlock

• Messung der Schreibverstärkung

  • In einer 15-Sekunden-Stichprobe blieben die aufbewahrten Zeilen bei 681.774 konstant, während etwa 36.211 Zeilen eingefügt wurden
  • Schreibverstärkung entsteht durch ein wiederholtes Insert-and-Prune-Muster aus Einfügen → Indexierung → WAL-Schreiben → Pruning

Vermutete Ursache

• Der SQLite-Feedback-Log-Sink wurde mit dem globalen TRACE-Standardwert (Targets::new().with_default(Level::TRACE)) eingerichtet
• Dadurch werden alle Targets auf TRACE-Level dauerhaft gespeichert, einschließlich interner/abhängigkeitsbezogener Logs und großer roher Protokoll-Payloads

Vorgeschlagene Korrekturrichtung

• Das Feedback-Logging beibehalten, aber den standardmäßig dauerhaft gespeicherten Umfang einschränken
  • Keinen globalen TRACE-Wert für den SQLite-Feedback-Log-Sink verwenden
  • Den Schwellenwert für Rauschen mit geringem Nutzwert wie target=log, hyper_util, interne tokio-tungstenite-Logs, inotify-Spam und Low-Level-Logs des OpenTelemetry-SDK anheben oder diese entfernen
  • Statt vollständiger Speicherung roher WebSocket-/SSE-Payloads nur Zusammenfassungen speichern (Ereignistyp, Dauer, Erfolg/Fehlschlag, Token-Nutzung, Payload-Größe in Bytes)
  • Gespiegelte Events von codex_otel.log_only / codex_otel.trace_safe nur dann speichern, wenn sie für Debugging tatsächlich nützlich sind
  • Ein Cap nur pro Thread reicht nicht aus; zusätzlich sollte eine globale Obergrenze für Größe/Schreibvolumen der Log-DB eingeführt werden
• Eine Option wie sqlite_logs_enabled = false ist ebenfalls nützlich, aber der Kern der Lösung ist eine bessere Standardfilterung

Reproduktionsberichte auf mehreren Plattformen

• macOS

  • Unter macOS 15.7.7 / Codex 26.616.51431 wurden für logs_2.sqlite 113M, MAX(id)=34,277,360 und 31.405 aufbewahrte Zeilen gemessen; in zwei 60-Sekunden-Stichproben wurden etwa 60 Schreibvorgänge pro Sekunde beobachtet
  • Für Sitzungen von 1–2 Stunden wurde berichtet, dass der codex-Prozess etwa 50 GB geschrieben hat

• Windows

  • Unter Codex Desktop für Windows (codex.exe app-server --analytics-default-enabled) wurden trotz RUST_LOG=warn und ohne explizite TRACE-Konfiguration fortlaufend TRACE-Zeilen eingefügt
  • Etwa 71.000 aufbewahrte Zeilen, und der logs-Wert in sqlite_sequence lag über 18,5 Mio., was auf umfangreichen früheren Insert/Prune-Churn hindeutet
  • In einer 10-Minuten-Verteilung gab es 1.812 TRACE-Zeilen; zu den wichtigsten TRACE-Targets gehörten codex_api::endpoint::responses_websocket (3,5 MB+) und codex_api::sse::responses
  • Erwartetes Verhalten: Bei RUST_LOG=warn sollten interne/abhängigkeitsbezogene TRACE-Logs und große Payloads nicht dauerhaft gespeichert werden

Zusätzliche Risiken und temporäre Gegenmaßnahmen

• Risiko von Datenverlust

  • Wenn der Datenträger voll ist, kann unter Linux nach einem Neustart die Anmeldung fehlschlagen
  • Der Codex-Modus /goal kann versuchen, Speicherplatz freizumachen, und dabei Dateien/Ordner löschen, was zu Datenverlust führen kann

• Skripte zur vorübergehenden Abhilfe

  • trim-codex-wal.sh, das ein laufendes WAL trimmt (PRAGMA wal_checkpoint(TRUNCATE)), kann per cron alle 15 Minuten ausgeführt werden
  • fix-codex-wal.sh, das Log-/WAL-Dateien löscht und anschließend Codex-bezogenen Prozessen SIGTERM → SIGKILL sendet, um sofort Speicherplatz freizugeben
  • Wenn ein SQLite-Trigger (block_log_inserts) hinzugefügt wird, der Inserts in die Tabelle logs ignoriert, wächst das WAL nicht weiter; zum Rückgängigmachen dient DROP TRIGGER IF EXISTS block_log_inserts
    • Da VACUUM die DB neu schreibt, kann dies bei großen Dateien einmalig sehr große Schreibvorgänge auslösen; empfohlen wird daher, erst den Trigger zu setzen und das Stoppen des WAL-Wachstums zu bestätigen und danach DELETE/VACUUM auszuführen
    • Da dies eine Änderung an einem privaten SQLite-Schema ist, könnten künftige Codex-Updates/Migrationen Tabellen neu anlegen oder Trigger entfernen
  • Bis ein dauerhafter Fix vorliegt, wurde auch vorgeschlagen, diese DB auf einer Ramdisk abzulegen, um SSD-Schäden zu vermeiden

Lösung und Abschluss

• Am 22. Juni 2026 wurde das Issue nach dem Merge von zwei PRs als erledigt markiert, da dadurch etwa 85 % weniger Logs anfielen
  • Logging aller Responses-WebSocket-Events beendet (#29432)
  • Filterung von Noise-Targets aus persistenten Logs (#29457)
• Ein separat vorgeschlagener Patch ersetzt globales TRACE durch standardmäßige Speicherung ab INFO+ und hebt codex_otel.log_only, codex_otel.trace_safe, hyper_util, log, opentelemetry_sdk usw. auf WARN+ an
• Die Änderungen wurden in rust-v0.142.0 veröffentlicht