OpenAI 安全部署 Codex:控制边界与智能审计
随着 AI 系统能力不断增强,它们越来越多地代表用户采取行动。编码代理可以自主审查代码仓库、运行命令并与开发工具交互。这些任务以前需要人类直接执行。通过 Codex,我们围绕这些能力设计了组织安全部署所需的控制机制。安全团队需要管理代理行为的方式:它们可以访问什么、何时需要人工批准、可以与哪些系统交互,以及存在哪些遥测数据来解释其行为。在 OpenAI,我们部署 Codex 时遵循几个明确目标:将代理限制在清晰的技术边界内,让开发者能在低风险操作上快速行动,并使高风险操作显式化。我们还保留代理原生的遥测能力,以便理解并审计代理的行为。实际中,这意味着托管配置、受限执行、网络策略和代理原生日志。
控制 Codex 的运行方式 我们遵循一个简单原则来部署 Codex:在受限环境下保持高效,日常低风险操作应无摩擦,高风险操作应停下来等待审查。审批与沙箱协同工作。沙箱定义技术执行边界,包括 Codex 可以写入的位置、是否可以访问网络以及哪些路径受保护。审批策略决定 Codex 何时必须请求执行某个操作,例如当它需要在沙箱外执行某些操作时。用户可以一次性批准该操作,或者为该会话批准此类操作。
对于常规审批请求,我们使用自动审核模式,该功能开启时会自动批准某些类型的请求,以减少用户暂停并批准 Codex 操作的频率。Codex 将计划的操作和最近上下文发送给自动审批子代理,该子代理可自动批准低风险操作,而无需打断用户。这样 Codex 可以继续处理常规工作,同时在高风险或可能导致意外结果的操作上停下来。
我们不运行具有开放式出站访问权限的 Codex。我们的托管网络策略允许预期目标、阻止不希望 Codex 访问的目标,并对不熟悉的域名要求审批。这让 Codex 能够完成常见的、已知良好的工作流程,而无需赋予其广泛的网络访问权限。
我们还管理 Codex 的认证方式。CLI 和 MCP OAuth 凭据存储在安全的 OS 钥匙串中,登录强制通过 ChatGPT 进行,访问权限锁定在我们的 ChatGPT 企业工作空间。这使 Codex 使用与我们的工作空间级控制绑定,并使 Codex 活动可在我们的企业工作空间的 ChatGPT 合规日志平台中获取。
我们使用规则确保 Codex 不会将所有 shell 命令视为同样安全。工程师日常开发中常用的良性命令无需批准即可在沙箱外执行,而特定的危险命令可以被阻止或要求审批。这使 Codex 能够快速完成普通工程任务,同时强制审查或阻止我们不想在沙箱外运行的模式。
我们通过云托管要求、macOS 托管偏好设置和本地要求文件的组合来应用这一态势。要求是管理员强制执行的、用户无法覆盖的控制。macOS 托管偏好设置和本地要求文件使我们能够保持一致的基线,同时根据团队、用户组或环境测试不同的配置。这些配置适用于本地 Codex 界面,包括桌面应用、CLI 和 IDE 扩展。
代理原生遥测与审计追踪 控制只是工作的一半。一旦代理部署,安全团队需要了解这些代理正在做什么以及为什么这么做。传统安全日志在查看 Codex 采取的操作时仍然有用,但它们主要回答“发生了什么”:进程启动、文件更改、网络连接尝试。防御方仍需揣摩 Codex 为何这么做或用户的意图。
Codex 可以为安全团队提供更代理感知的视图。Codex 支持 OpenTelemetry 日志导出,涵盖各种 Codex 事件,例如用户提示、工具审批决策、工具执行结果、MCP 服务器使用情况以及网络代理允许或拒绝事件。Codex 活动日志也可通过 OpenAI 合规平台(面向企业和教育客户)获取。
在 OpenAI,我们将 Codex 日志与我们的 AI 驱动的安全分类代理结合使用。当端点警报提示 Codex 执行了异常操作时,端点安全工具会告诉我们发生了可疑事件。Codex 日志随后帮助解释周围环境和用户及代理的意图。我们的 AI 安全分类代理使用 Codex 日志检查原始请求、工具活动、审批决策、工具结果以及任何相关的网络策略决策或阻止。AI 安全分类代理将分析结果呈现给我们的安全团队进行审查,以区分预期代理行为、良性错误和真正需要上报的活动。
我们在运营中也使用相同的遥测数据。我们利用这些日志了解内部采用情况如何变化、使用哪些工具和 MCP 服务器、网络沙箱阻止或提示的频率,以及部署仍需调整的地方。这些 OpenTelemetry 日志可以集中到 SIEM 和合规日志系统中。
展望未来 随着 Codex 这样的编码代理逐渐融入开发工作流程,安全团队需要专门为此变化设计的工具。Codex 提供了确保安全采用所需的控制面、配置管理、沙箱和详细的代理感知遥测。有了这些能力,安全团队可以更有信心启用 Codex,平衡开发者生产力与企业安全所需的可见性和控制。有关配置 Codex 的更多信息,请参阅此处(opens in a new window),合规 API 请参阅此处(opens in a new window)。