8. Mai 2026

Codex bei OpenAI sicher einsetzen

Ein Blick auf die Kontrollen, Grenzen und Telemetrie, mit denen OpenAI Coding-Agenten in realen Workflows steuert.

Laden …

Da KI-Systeme immer leistungsfähiger werden, handeln sie zunehmend im Auftrag von Nutzenden. Coding-Agenten können autonom Repositorys prüfen, Befehle ausführen und mit Entwicklungstools interagieren. Das sind Aufgaben, die zuvor eine direkte Ausführung durch Menschen erforderten.

Mit Codex haben wir diese Fähigkeiten zusammen mit den Kontrollen entwickelt, die Organisationen für eine sichere Bereitstellung benötigen. Sicherheitsteams brauchen Möglichkeiten, die Arbeitsweise von Agenten zu steuern: worauf sie zugreifen können, wann eine menschliche Freigabe erforderlich ist, mit welchen Systemen sie interagieren dürfen und welche Telemetrie zur Erklärung ihres Verhaltens vorhanden ist.

Bei OpenAI setzen wir Codex mit einigen klaren Zielen ein: den Agenten innerhalb klarer technischer Grenzen halten, Entwickler:innen bei risikoarmen Aktionen schnell vorankommen lassen und risikoreichere Aktionen ausdrücklich kennzeichnen. Außerdem bewahren wir die agenteneigene Telemetrie auf, damit wir nachvollziehen und prüfen können, was der Agent getan hat. In der Praxis bedeutet das verwaltete Konfiguration, eingeschränkte Ausführung, Netzwerkrichtlinien und agenteneigene Protokolle.

Steuern, wie Codex arbeitet

Wir stellen Codex nach einem einfachen Prinzip bereit: Es soll in einer begrenzten Umgebung produktiv sein, risikoarme Alltagsaktionen sollen reibungslos ablaufen und risikoreichere Aktionen sollen zur Überprüfung angehalten werden.

Sandboxing und Freigaben

Freigaben und Sandboxing funktionieren zusammen. Die Sandbox definiert die technische Ausführungsgrenze, einschließlich dessen, wo Codex Schreibrechte hat, ob es auf das Netzwerk zugreifen kann und welche Pfade geschützt bleiben. Die Freigaberichtlinie bestimmt, wann Codex um Erlaubnis bitten muss, eine Aktion auszuführen, etwa wenn es etwas außerhalb der Sandbox tun muss. Nutzende können die Aktion einmal freigeben oder diese Art von Aktion für die jeweilige Sitzung freigeben.

Für Anfragen, die die Sandbox-Grenze überschreiten, nutzen wir den Modus „Automatische Prüfung“⁠(wird in einem neuen Fenster geöffnet), eine Funktion, die, wenn sie aktiviert ist, bestimmte Arten von Anfragen automatisch genehmigt, um zu verringern, wie oft Nutzende anhalten und Codex-Aktionen freigeben müssen. Codex sendet die geplante Aktion und den jüngsten Kontext an den Unteragenten für automatische Freigaben, der risikoarme Aktionen – oder risikoreiche Aktionen bei ausreichender Benutzerberechtigung – automatisch genehmigen kann, statt die Nutzenden zu unterbrechen. So bleibt Codex bei Routineaufgaben bei der Arbeit, während es bei risikoreicheren Aktionen oder Aktionen mit unbeabsichtigten Folgen weiterhin anhält.

TOML

1# config.toml
2
3# Turn on auto_review
4approvals_reviewer = "auto_review" 
5# Add known development directories to the sandbox automatically
6sandbox_workspace_write.writable_roots = ["~/development"] 
7
8# requirements.toml
9
10# Require Codex to operate inside the sandbox
11allowed_sandbox_modes = ["read-only", "workspace-write"]

Netzwerkzugriff

Wir betreiben Codex nicht mit uneingeschränktem ausgehendem Zugriff. Unsere verwaltete Netzwerkrichtlinie erlaubt erwartete Ziele, blockiert Ziele, die Codex nicht erreichen soll, und verlangt eine Freigabe für unbekannte Domains. So kann Codex gängige, als sicher bekannte Workflows abschließen, ohne umfassenden Netzwerkzugriff zu erhalten.

TOML

1# requirements.toml
2
3# Ensure web fetch only comes from OpenAI's cache
4allowed_web_search_modes = ["cached"] 
5
6[experimental_network]
7# Turn on Network Proxy
8enabled = true
9# Allow Codex to interact with localhost
10allow_local_binding = true 
11# Block all requests to this domain
12denied_domains = ["pastebin.com"] 
13# Auto-allow requests to these domains
14allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

Identität und Anmeldedaten

Wir verwalten auch, wie sich Codex authentifiziert. CLI- und MCP-OAuth-Anmeldedaten werden im sicheren Schlüsselbund des Betriebssystems gespeichert, die Anmeldung wird über ChatGPT erzwungen, und der Zugriff ist an unseren ChatGPT‑Enterprise‑Workspace gebunden. So bleibt die Nutzung von Codex an unsere Kontrollen auf Workspace-Ebene gekoppelt, und die Codex-Aktivität ist in der ChatGPT‑Plattform für Compliance-Protokolle für unseren Enterprise-Workspace verfügbar.

TOML

1# config.toml
2
3# Store CLI Auth Creds in OS Keychain
4cli_auth_credentials_store = "keyring"           
5# Store MCP Creds in OS Keychain
6mcp_oauth_credentials_store = "keyring"          
7# Require Auth via ChatGPT
8forced_login_method = "chatgpt"                  
9# Require Auth to Specific ChatGPT Workspace
10forced_chatgpt_workspace_id = "<workspace-uuid>"

Regeln

Wir verwenden Regeln, damit Codex nicht jeden Shell-Befehl als gleich sicher behandelt. Gängige harmlose Befehle, die Entwickler:innen in der täglichen Entwicklung verwenden, sind außerhalb der Sandbox ohne Freigabe erlaubt, und bestimmte gefährliche Befehle können blockiert werden oder eine Freigabe erfordern. So kann Codex gewöhnliche Entwicklungsaufgaben schnell durchlaufen, während bei Mustern, die wir außerhalb der Sandbox nicht ausführen möchten, weiterhin eine Überprüfung erzwungen oder die Ausführung blockiert wird.

Starlark

1# default.rules
2
3prefix_rule(
4    pattern = ["gh", "pr", ["view", "list"]],
5    decision = "allow",
6    justification = "Allows read-only GitHub PR inspection via gh CLI.",
7)
8prefix_rule(
9    pattern = ["kubectl", ["get", "describe", "logs"]],
10    decision = "allow",
11    justification = "Allows Kubernetes resource inspection for debugging.",
12)

Verwaltete Konfigurationen

Wir setzen diese Sicherheitsstrategie durch eine Kombination aus cloudverwalteten Anforderungen, verwalteten macOS-Einstellungen und lokalen Anforderungsdateien um. Anforderungen sind von Administrator:innen erzwungene Kontrollen, die Nutzende nicht überschreiben können. Die verwalteten macOS-Einstellungen und lokalen Anforderungsdateien ermöglichen uns, eine konsistente Basis beizubehalten und gleichzeitig unterschiedliche Konfigurationen nach Team, Nutzergruppe oder Umgebung zu testen. Diese Konfigurationen gelten für lokale Codex-Oberflächen, einschließlich der Desktop-App, CLI und IDE-Erweiterung.

Agenteneigene Telemetrie und Audit-Trails

Kontrolle ist nur die halbe Aufgabe. Sobald Agenten bereitgestellt sind, brauchen Sicherheitsteams Einblick darin, was diese Agenten tun und warum. Herkömmliche Sicherheitsprotokolle sind weiterhin nützlich, wenn von Codex ausgeführte Aktionen angesehen werden sollen, aber sie beantworten meist nur, was passiert ist: Ein Prozess wurde gestartet, eine Datei geändert, eine Netzwerkverbindung wurde versucht. Verteidigende müssen weiterhin herausfinden, warum Codex etwas getan hat oder welche Nutzerabsicht dahinter steckte.

Codex kann Sicherheitsteams eine agentenbewusstere Sicht geben. Codex unterstützt den Export von OpenTelemetry-Protokollen für verschiedene Codex-Ereignisse wie Nutzer-Prompts, Entscheidungen zu Tool-Freigaben, Ergebnisse von Tool-Ausführungen, die Nutzung von MCP-Servern sowie Zulassungs- oder Ablehnungsereignisse des Netzwerk-Proxys. Codex-Aktivitätsprotokolle sind außerdem über die OpenAI-Compliance-Plattform für Enterprise- und Edu-Kund:innen verfügbar.

TOML

1# config.toml
2
3[otel]
4log_user_prompt = true
5environment = "prod"
6
7[otel.exporter.otlp-http]
8endpoint = "http://localhost:14318/v1/logs"
9protocol = "binary"

Bei OpenAI nutzen wir Codex-Protokolle zusammen mit unserem KI-gestützten Agenten für die Sicherheits-Triage. Wenn eine Endpunktwarnung meldet, dass Codex etwas Ungewöhnliches getan hat, teilt uns das Endpunktsicherheitstool mit, dass ein verdächtiges Ereignis aufgetreten ist. Codex-Protokolle helfen dann dabei, die zugrunde liegende Absicht von Nutzer:in und Agent zu erklären. Unser KI-Sicherheits-Triage-Agent verwendet Codex-Protokolle, um die ursprüngliche Anfrage, Tool-Aktivität, Freigabeentscheidungen, Tool-Ergebnisse und jede relevante Entscheidung oder Blockierung durch die Netzwerkrichtlinie zu prüfen. Der KI-Sicherheits-Triage-Agent stellt seine Analyse unserem Sicherheitsteam zur Überprüfung bereit, um zwischen erwartetem Agentenverhalten, harmlosen Fehlern und Aktivitäten zu unterscheiden, die tatsächlich eine Eskalation rechtfertigen.

Wir nutzen dieselbe Telemetrie auch operativ. Wir verwenden diese Protokolle, um zu verstehen, wie sich die interne Einführung verändert, welche Tools und MCP-Server genutzt werden, wie oft die Netzwerk-Sandbox blockiert oder Rückfragen stellt und wo die Einführung noch nachjustiert werden muss. Diese OpenTelemetry-Protokolle können in SIEM- und Compliance-Protokollierungssystemen zentralisiert werden.

Blick in die Zukunft

Da Coding-Agenten wie Codex in Entwicklungsworkflows integriert werden, brauchen Sicherheitsteams Werkzeuge, die speziell für die Steuerung dieses Wandels ausgelegt sind. Codex bietet die Steuerungsoberflächen, das Konfigurationsmanagement, das Sandboxing und die detaillierte Telemetrie für Agenten, die für eine sichere Einführung erforderlich sind. Mit diesen Fähigkeiten können Sicherheitsteams Codex mit größerem Vertrauen aktivieren und dabei die Produktivität von Entwickler:innen mit der für Unternehmenssicherheit erforderlichen Transparenz und Kontrolle vereinen. Weitere Informationen zur Konfiguration von Codex findest du hier⁠(wird in einem neuen Fenster geöffnet) und zur Compliance API hier⁠(wird in einem neuen Fenster geöffnet).

Autor

OpenAI

Mehr lesen

Alles anzeigen

Jugendsicherheit und Chancen durch globale Führung stärken

Globale Angelegenheiten2. Juni 2026

Ein gemeinsamer Leitfaden für vertrauenswürdige Evaluierungen durch Dritte

Sicherheit29. Mai 2026

Frontier Governance Framework > card image

OpenAIs Frontier Governance Framework

Sicherheit28. Mai 2026