在 OpenAI 安全运行 Codex
TL;DR · AI 摘要
OpenAI 通过沙箱、审批与原生可观测性保障 Codex 安全,实现低风险自动化,高风险行为强制审查。
核心要点
- Codex 仅限受控沙箱内运行,外联需审批且仅允许已知目标。
- Auto-review 模式可自动批准低风险操作,减少用户中断。
- Codex 支持 OpenTelemetry 日志导出,实现完整行为审计。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Codex 安全部署实践
- 执行控制
- 沙箱边界
- 审批策略
- Auto-review 模式
- 环境隔离
- 网络策略
- 凭证安全管理
- 命令级规则
- 可观测性与审计
- OpenTelemetry 日志
- 合规平台集成
- AI 安全分诊辅助
金句 / Highlights
值得收藏与分享的关键句。
Codex 支持 OpenTelemetry 日志导出,涵盖用户提示、工具审批决策、执行结果等关键事件。
Auto-review 模式将低风险动作交由子代理自动判断,显著降低用户干预频率。
Codex 活动日志可通过 OpenAI 合规平台获取,支持企业级审计与溯源。
标题:在 OpenAI 安全运行 Codex
原始链接:https://openai.com/index/running-codex-safely
Markdown 内容: 随着 AI 系统能力的不断提升,它们越来越多地代表用户执行任务。代码代理可以自主审查代码仓库、运行命令,并与开发工具交互。这些原本需要人工直接操作的任务,现在由 AI 代理完成。
借助 Codex,我们设计了这些功能的同时,也配备了组织所需的安全部署控制机制。安全团队需要能够管理代理的行为:它们可以访问哪些资源、何时需要人工审批、可与哪些系统交互,以及有哪些可观测性数据来解释其行为。
在 OpenAI,我们部署 Codex 时有几项明确目标:确保代理始终处于清晰的技术边界内,让开发者在低风险操作上快速推进,同时使高风险操作显式化并需审查。我们还保留了代理原生的可观测性数据,以便理解并审计代理的实际行为。实际上,这意味着采用受管配置、受限执行、网络策略以及代理原生日志。
控制 Codex 的运行方式
我们部署 Codex 的核心原则是:它应在有限环境中高效工作;日常低风险操作应无摩擦;而高风险操作则必须暂停以待审查。
审批机制与沙箱环境协同工作。沙箱定义了技术执行边界,包括 Codex 可写入的位置、是否可访问网络,以及哪些路径受到保护。审批策略则决定 Codex 在何种情况下必须请求批准,例如当它需要执行沙箱外的操作时。用户可以选择一次性批准某项操作,或为当前会话批准某一类操作。
对于常规的审批请求,我们启用了自动审查模式(Auto-review mode)。该功能开启后,可自动批准某些类型的请求,从而减少用户频繁中断审批的次数。Codex 会将计划执行的操作和近期上下文发送给自动审批子代理,后者可自动批准低风险操作,避免打扰用户。这使得 Codex 能够持续处理常规任务,同时在面对高风险或可能产生意外后果的操作时仍会暂停。
我们不会为 Codex 提供无限制的出站访问权限。我们的受管网络策略允许预期的目标地址,阻止我们不希望 Codex 访问的地址,并对陌生域名要求额外审批。这使得 Codex 能顺利完成常见且已知可靠的流程,而无需赋予其广泛的网络访问权限。
我们还管理 Codex 的身份认证方式。CLI 和 MCP OAuth 凭据存储在安全的操作系统密钥环中,登录强制通过 ChatGPT 进行,且访问权限绑定至我们的 ChatGPT 企业工作区。这确保了 Codex 的使用与工作区级别的控制策略挂钩,并使其活动记录可被纳入 ChatGPT 合规日志平台,供企业工作区审计。
我们通过规则设定,防止 Codex 将每一条 shell 命令都视为同等安全。日常开发中工程师常用的常见无害命令,在沙箱外无需审批即可执行;而特定危险命令则可被阻止或要求审批。这使得 Codex 能快速完成常规工程任务,同时强制对沙箱外不希望运行的模式进行审查或阻断。
我们通过云管理要求、macOS 受管偏好设置以及本地需求文件相结合的方式实现上述策略。需求文件是管理员强制实施的控制措施,用户无法绕过。macOS 受管偏好设置和本地需求文件允许我们在保持统一基线的同时,按团队、用户组或环境测试不同的配置。这些配置适用于所有本地 Codex 表面,包括桌面应用、CLI 工具和 IDE 插件。
代理原生可观测性与审计追踪
控制只是工作的一半。一旦代理上线,安全团队就需要了解代理正在做什么以及为何如此。传统安全日志在分析 Codex 执行的动作时仍然有用,但它们主要回答“发生了什么”:某个进程启动了,某个文件被修改了,尝试建立网络连接。然而,防御者仍需自行判断 Codex 为何执行某项操作,或用户的实际意图是什么。
Codex 能为安全团队提供更具备代理感知的视角。Codex 支持通过 OpenTelemetry 导出多种事件日志,包括用户提示、工具审批决策、工具执行结果、MCP 服务器使用情况,以及网络代理的放行或拒绝事件。Codex 活动日志也可通过 OpenAI 企业版与教育版合规平台获取。
在 OpenAI,我们结合 Codex 日志与基于 AI 的安全研判代理共同工作。当终端警报提示 Codex 执行了异常行为时,终端安全工具会通知我们发生了可疑事件。随后,Codex 日志帮助我们理解用户和代理的上下文意图。我们的 AI 安全研判代理利用 Codex 日志检查原始请求、工具活动、审批决策、工具执行结果,以及任何相关的网络策略决策或阻断记录。该代理将分析结果呈现给安全团队,用于区分预期的代理行为、无害的误操作,以及真正需要升级的异常活动。
我们也在运营中使用相同的可观测性数据。这些日志帮助我们了解内部采用趋势的变化,识别正在使用的工具和 MCP 服务器,统计网络沙箱的阻断或提醒频率,并定位仍需优化的部署环节。这些 OpenTelemetry 日志可集中到 SIEM 和合规日志系统中。
随着像 Codex 这样的编码代理逐渐融入开发工作流程,安全团队需要专门设计的工具来应对这一转变。Codex 提供了控制界面、配置管理、沙箱环境以及详细的代理感知遥测功能,确保安全地采用该技术。在这些能力到位的基础上,安全团队可以更自信地启用 Codex,实现开发者生产力与企业安全所需的可见性及控制力之间的平衡。有关配置 Codex 的更多信息,请参见 此处(在新窗口中打开),合规 API 详情请见 此处(在新窗口中打开)。