Langsung ke konten utama
OpenAI

8 Mei 2026

KeamananKeselamatan

Menjalankan Codex dengan aman di OpenAI

Tinjauan tentang kontrol, batasan, dan telemetri yang digunakan OpenAI untuk mengatur agen coding dalam alur kerja nyata.

Memuat…

Seiring dengan menjadi lebih mumpuninya sistem AI, sistem tersebut semakin sering bertindak atas nama pengguna. Agen pengodean dapat secara otonom meninjau repositori, menjalankan perintah, dan berinteraksi dengan alat pengembangan. Ini adalah tugas-tugas yang sebelumnya memerlukan pelaksanaan langsung oleh manusia.

Dengan Codex, kami merancang kapabilitas ini bersamaan dengan kontrol yang dibutuhkan organisasi untuk penerapan yang aman. Tim keamanan memerlukan cara untuk mengatur bagaimana agen beroperasi: apa yang dapat mereka akses, kapan persetujuan manusia diperlukan, sistem mana yang dapat mereka gunakan untuk berinteraksi, dan telemetri apa yang tersedia untuk menjelaskan perilaku mereka.

Di OpenAI, kami menerapkan Codex dengan beberapa tujuan yang jelas: menjaga agen tetap berada dalam batas teknis yang jelas, memungkinkan pengembang bergerak cepat pada tindakan berisiko rendah, dan membuat tindakan berisiko lebih tinggi menjadi eksplisit. Kami juga mempertahankan telemetri asli agen agar kami dapat memahami dan mengaudit apa yang dilakukan agen. Dalam praktiknya, itu berarti konfigurasi terkelola, eksekusi yang dibatasi, kebijakan jaringan, dan log asli agen.

Mengontrol cara Codex beroperasi

Kami menerapkan Codex dengan prinsip sederhana bahwa Codex harus produktif dalam lingkungan yang dibatasi, tindakan sehari-hari berisiko rendah harus tanpa hambatan, dan tindakan berisiko lebih tinggi harus berhenti untuk ditinjau.

Sandboxing dan persetujuan

Persetujuan dan sandboxing bekerja bersama. Sandbox menentukan batas eksekusi teknis, termasuk di mana Codex dapat menulis, apakah Codex dapat mengakses jaringan, dan jalur mana yang tetap dilindungi. Kebijakan persetujuan menentukan kapan Codex harus meminta izin untuk melakukan suatu tindakan, misalnya saat perlu melakukan sesuatu di luar sandbox. Pengguna dapat menyetujui tindakan itu satu kali, atau menyetujui jenis tindakan tersebut untuk sesi itu.

Untuk permintaan yang melintasi batas sandbox, kami menggunakan mode Auto-review(terbuka di jendela baru), yaitu fitur yang ketika diaktifkan akan secara otomatis menyetujui jenis permintaan tertentu untuk mengurangi seberapa sering pengguna harus berhenti dan menyetujui tindakan Codex. Codex mengirimkan tindakan yang direncanakan dan konteks terbaru ke subagen persetujuan otomatis, yang dapat secara otomatis menyetujui tindakan berisiko rendah—atau tindakan berisiko tinggi dengan tingkat otorisasi pengguna yang memadai—alih-alih menginterupsi pengguna. Ini membuat Codex tetap berjalan untuk pekerjaan rutin sekaligus tetap berhenti pada tindakan berisiko lebih tinggi atau tindakan yang memiliki konsekuensi tak diinginkan.

TOML

1
# config.toml
2

3
# Turn on auto_review
4
approvals_reviewer = "auto_review" 
5
# Add known development directories to the sandbox automatically
6
sandbox_workspace_write.writable_roots = ["~/development"] 
7

8
# requirements.toml
9

10
# Require Codex to operate inside the sandbox
11
allowed_sandbox_modes = ["read-only", "workspace-write"]

Akses jaringan

Kami tidak menjalankan Codex dengan akses keluar yang terbuka tanpa batas. Kebijakan jaringan terkelola kami mengizinkan tujuan yang diharapkan, memblokir tujuan yang tidak kami inginkan untuk diakses Codex, dan memerlukan persetujuan untuk domain yang tidak dikenal. Ini memungkinkan Codex menyelesaikan alur kerja umum yang sudah diketahui aman tanpa memberinya akses jaringan yang luas.

TOML

1
# requirements.toml
2

3
# Ensure web fetch only comes from OpenAI's cache
4
allowed_web_search_modes = ["cached"] 
5

6
[experimental_network]
7
# Turn on Network Proxy
8
enabled = true
9
# Allow Codex to interact with localhost
10
allow_local_binding = true 
11
# Block all requests to this domain
12
denied_domains = ["pastebin.com"] 
13
# Auto-allow requests to these domains
14
allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

Identitas dan kredensial

Kami juga mengelola cara Codex melakukan autentikasi. Kredensial OAuth CLI dan MCP disimpan di keyring OS yang aman, proses masuk diwajibkan melalui ChatGPT, dan akses dikunci ke workspace perusahaan ChatGPT kami. Ini membuat penggunaan Codex tetap terikat pada kontrol tingkat workspace kami dan membuat aktivitas Codex tersedia di Platform Log Kepatuhan ChatGPT untuk workspace perusahaan kami.

TOML

1
# config.toml
2

3
# Store CLI Auth Creds in OS Keychain
4
cli_auth_credentials_store = "keyring"           
5
# Store MCP Creds in OS Keychain
6
mcp_oauth_credentials_store = "keyring"          
7
# Require Auth via ChatGPT
8
forced_login_method = "chatgpt"                  
9
# Require Auth to Specific ChatGPT Workspace
10
forced_chatgpt_workspace_id = "<workspace-uuid>"

Aturan

Kami menggunakan aturan agar Codex tidak memperlakukan setiap perintah shell sebagai sesuatu yang sama amannya. Perintah umum yang tidak berbahaya dan digunakan insinyur dalam pengembangan sehari-hari diizinkan tanpa persetujuan di luar sandbox, dan perintah berbahaya tertentu dapat diblokir atau memerlukan persetujuan. Ini memungkinkan Codex bergerak cepat melalui tugas rekayasa biasa sambil tetap memaksa peninjauan atau memblokir pola yang tidak ingin kami jalankan di luar sandbox.

Starlark

1
# default.rules
2

3
prefix_rule(
4
    pattern = ["gh", "pr", ["view", "list"]],
5
    decision = "allow",
6
    justification = "Allows read-only GitHub PR inspection via gh CLI.",
7
)
8
prefix_rule(
9
    pattern = ["kubectl", ["get", "describe", "logs"]],
10
    decision = "allow",
11
    justification = "Allows Kubernetes resource inspection for debugging.",
12
)

Konfigurasi terkelola

Kami menerapkan pendekatan ini melalui kombinasi persyaratan yang dikelola cloud, preferensi terkelola macOS, dan file persyaratan lokal. Persyaratan adalah kontrol yang diberlakukan admin dan tidak dapat ditimpa oleh pengguna. Preferensi terkelola macOS dan file persyaratan lokal memungkinkan kami mempertahankan dasar yang konsisten sambil tetap menguji konfigurasi yang berbeda berdasarkan tim, grup pengguna, atau lingkungan. Konfigurasi ini berlaku di seluruh permukaan Codex lokal, termasuk aplikasi desktop, CLI, dan ekstensi IDE.

Telemetri asli agen dan jejak audit

Kontrol hanyalah setengah dari pekerjaan. Setelah agen diterapkan, tim keamanan memerlukan visibilitas terhadap apa yang dilakukan agen ini dan alasannya. Log keamanan tradisional tetap berguna saat melihat tindakan yang diambil oleh Codex, tetapi sebagian besar hanya menjawab apa yang terjadi: sebuah proses dimulai, file berubah, koneksi jaringan dicoba. Pembela masih harus mencari tahu mengapa Codex melakukan sesuatu, atau apa maksud pengguna.

Codex dapat memberi tim keamanan pandangan yang lebih sadar-agen. Codex mendukung ekspor log OpenTelemetry untuk berbagai peristiwa Codex seperti prompt pengguna, keputusan persetujuan alat, hasil eksekusi alat, penggunaan server MCP, dan peristiwa proksi jaringan yang diizinkan atau ditolak. Log aktivitas Codex juga tersedia melalui Platform Kepatuhan OpenAI untuk pelanggan Enterprise dan Edu.

TOML

1
# config.toml
2

3
[otel]
4
log_user_prompt = true
5
environment = "prod"
6

7
[otel.exporter.otlp-http]
8
endpoint = "http://localhost:14318/v1/logs"
9
protocol = "binary"

Di OpenAI, kami menggunakan log Codex bersama agen triase keamanan yang didukung AI kami. Ketika peringatan endpoint mengatakan Codex melakukan sesuatu yang tidak biasa, alat keamanan endpoint memberi tahu kami bahwa peristiwa mencurigakan telah terjadi. Log Codex kemudian membantu menjelaskan maksud yang melatarbelakanginya, baik dari sisi pengguna dan agen. Agen triase keamanan AI kami menggunakan log Codex untuk memeriksa permintaan asli, aktivitas alat, keputusan persetujuan, hasil alat, dan setiap keputusan atau pemblokiran kebijakan jaringan yang relevan. Agen triase keamanan AI menampilkan analisisnya kepada tim keamanan kami untuk ditinjau guna membedakan antara perilaku agen yang diharapkan, kesalahan ringan, dan aktivitas yang benar-benar memerlukan eskalasi.

Kami juga menggunakan telemetri yang sama secara operasional. Kami menggunakan log ini untuk memahami bagaimana adopsi internal berubah, alat dan server MCP mana yang digunakan, seberapa sering sandbox jaringan memblokir atau meminta konfirmasi, dan di mana peluncuran masih perlu disesuaikan. Log OpenTelemetry ini dapat dipusatkan dalam sistem logging SIEM dan kepatuhan.

Melihat ke depan

Seiring dengan semakin terintegrasinya agen pengodean seperti Codex ke dalam alur kerja pengembangan, tim keamanan membutuhkan alat yang dirancang khusus untuk mengelola perubahan ini. Codex menyediakan permukaan kontrol, manajemen konfigurasi, sandboxing, dan telemetri detail yang sadar-agen yang diperlukan untuk memastikan adopsi yang aman. Dengan kapabilitas tersebut, tim keamanan dapat mengaktifkan Codex dengan lebih percaya diri, menyeimbangkan produktivitas pengembang dengan visibilitas dan kontrol yang dibutuhkan untuk keamanan perusahaan. Informasi lebih lanjut tentang mengonfigurasi Codex dapat ditemukan di sini(terbuka di jendela baru), dan Kepatuhan API di sini(terbuka di jendela baru).

Penulis

OpenAI

Terus membaca

Lihat semua
oai 1x1
Memajukan keselamatan dan peluang bagi kaum muda melalui kepemimpinan global

Urusan Global

Technical foundations > Art Card
Panduan bersama untuk evaluasi pihak ketiga yang tepercaya

Keselamatan

Frontier Governance Framework > card image
Kerangka Tata Kelola Frontier OpenAI

Keselamatan