A medida que los sistemas de IA se vuelven más capaces, cada vez actúan más en nombre de los usuarios. Los agentes de programación pueden revisar repositorios de forma autónoma, ejecutar comandos e interactuar con herramientas de desarrollo, tareas que antes requerían la intervención directa de una persona.
Con Codex, hemos diseñado estas capacidades junto con los controles que las organizaciones necesitan para garantizar una implementación segura. Los equipos de seguridad requieren mecanismos para gobernar cómo operan los agentes: a qué pueden acceder, cuándo se requiere aprobación humana, con qué sistemas pueden interactuar y qué telemetría está disponible para explicar su comportamiento.
En OpenAI, implementamos Codex con algunos objetivos claros: mantener al agente dentro de límites técnicos definidos, permitir que los desarrolladores avancen rápidamente en acciones de bajo riesgo y exponer claramente las acciones de mayor riesgo. También conservamos telemetría nativa del agente para poder entender y auditar lo que hizo. En la práctica, esto implica configuraciones gestionadas, ejecución restringida, políticas de red y registros nativos del agente.
Implementamos Codex con un principio simple: debe ser productivo dentro de un entorno delimitado, las acciones cotidianas de bajo riesgo deben ser fluidas y las acciones de mayor riesgo deben detenerse para su revisión.
Las aprobaciones y el aislamiento funcionan juntos. El entorno aislado define el límite técnico de ejecución, incluido dónde puede escribir Codex, si puede acceder a la red y qué rutas permanecen protegidas. La política de aprobación determina cuándo Codex debe pedir permiso para realizar una acción, por ejemplo, cuando necesita hacer algo fuera del entorno aislado. Los usuarios pueden aprobar la acción una vez o aprobar ese tipo de acción para esa sesión.
Para las solicitudes que cruzan los límites del entorno aislado, estamos usando el modo de revisión automática(se abre en una ventana nueva), una función que, al activarse, aprueba automáticamente ciertos tipos de solicitudes para reducir la frecuencia con la que los usuarios tienen que detenerse y aprobar acciones de Codex. Codex envía la acción planificada y el contexto reciente al subagente de aprobación automática, que puede validar acciones de bajo riesgo (o las de alto riesgo si el usuario tiene un nivel de autorización suficiente) en lugar de interrumpir al usuario. Eso permite que Codex siga avanzando en tareas rutinarias, pero se detiene ante acciones de mayor riesgo o con consecuencias no deseadas.
No ejecutamos Codex con acceso saliente sin restricciones. Nuestra política de red gestionada permite destinos esperados, bloquea aquellos a los que no queremos que Codex acceda y requiere aprobación para dominios no reconocidos. Esto hace que Codex pueda completar flujos de trabajo comunes y conocidos sin otorgarle un acceso amplio a la red.
También gestionamos cómo se autentica Codex. Las credenciales OAuth de CLI y MCP se almacenan en el llavero seguro del sistema operativo, el inicio de sesión se fuerza a través de ChatGPT y el acceso se vincula a nuestra área de trabajo empresarial de ChatGPT. Eso mantiene el uso de Codex ligado a nuestros controles a nivel de área de trabajo y hace que la actividad de Codex esté disponible en la plataforma de registros de cumplimiento de ChatGPT para nuestra área de trabajo empresarial.
Usamos reglas para que Codex no considere que todos los comandos de shell son igual de seguros. Los comandos comunes e inofensivos que los ingenieros usan en su trabajo diario se permiten sin necesidad de aprobación fuera del entorno aislado, mientras que los comandos claramente peligrosos pueden bloquearse o requerir aprobación. De esta forma, Codex puede avanzar rápidamente en tareas de ingeniería habituales, al tiempo que obliga a revisar o bloquea los patrones que no queremos que se ejecuten fuera del entorno aislado.
Aplicamos esta postura mediante una combinación de requisitos gestionados en la nube, preferencias administradas de macOS y archivos de requisitos locales. Los requisitos son controles aplicados por administradores que los usuarios no pueden anular. Las preferencias administradas de macOS y los archivos de requisitos locales nos permiten mantener una base de referencia coherente y, al mismo tiempo, probar distintas configuraciones por equipo, grupo de usuarios o entorno. Estas configuraciones se aplican en todas las superficies locales de Codex, incluida la aplicación de escritorio, la CLI y la extensión de IDE.
El control es solo la mitad del trabajo. Una vez que se implementan los agentes, los equipos de seguridad necesitan visibilidad de lo que estos agentes están haciendo y por qué. Los registros de seguridad tradicionales siguen siendo útiles al revisar acciones realizadas por Codex, pero sobre todo responden a qué ha pasado: se ha iniciado un proceso, se ha modificado un archivo, se ha intentado establecer una conexión de red. Los defensores todavía tienen que averiguar por qué Codex hizo algo o cuál era la intención del usuario.
Codex puede ofrecer a los equipos de seguridad una visión más centrada en los agentes. Admite la exportación de registros mediante OpenTelemetry para distintos eventos, como prompts de usuario, decisiones de aprobación de herramientas, resultados de ejecución de herramientas, uso de servidores MCP y eventos de red (permitidos o bloqueados por el proxy). Además, los registros de actividad de Codex están disponibles a través de la plataforma de cumplimiento de OpenAI para clientes Enterprise y Edu.
En OpenAI, usamos los registros de Codex junto con nuestro agente de clasificación de la seguridad impulsado por IA. Cuando una alerta de punto de acceso indica que Codex hizo algo inusual, la herramienta de seguridad del punto de acceso nos dice que se produjo un evento sospechoso. Después, los registros de Codex ayudan a explicar la intención del usuario y del agente en torno a ese hecho. Nuestro agente de clasificación de la seguridad con IA usa los registros de Codex para inspeccionar la solicitud original, la actividad de las herramientas, las decisiones de aprobación, los resultados de las herramientas y cualquier decisión o bloqueo relevante de la política de red. El agente de clasificación de la seguridad con IA presenta su análisis a nuestro equipo de seguridad para su revisión y así poder distinguir entre el comportamiento esperado del agente, errores inofensivos y actividad que realmente justifica una escalada.
También utilizamos la misma telemetría de forma operativa. Analizamos estos registros para entender cómo cambia la adopción interna, qué herramientas y servidores MCP se usan, con qué frecuencia el entorno aislado de red bloquea o solicita aprobación, y en qué áreas todavía hace falta ajustar el despliegue. Estos registros de OpenTelemetry se pueden centralizar en sistemas SIEM y de cumplimiento.
A medida que los agentes de programación como Codex se integran en los flujos de trabajo de desarrollo, los equipos de seguridad necesitan herramientas diseñadas específicamente para gestionar este cambio. Codex ofrece las superficies de control, la gestión de configuración, el aislamiento y la telemetría detallada y consciente del agente necesarias para garantizar una adopción segura. Con estas capacidades implementadas, los equipos de seguridad pueden habilitar Codex con mayor confianza, ya que equilibran la productividad de los desarrolladores con la visibilidad y el control requeridos para la seguridad empresarial. Puedes encontrar más información sobre cómo configurar Codex aquí(se abre en una ventana nueva), y sobre la API de cumplimiento aquí(se abre en una ventana nueva).
