Etter hvert som KI-systemene blir mer kapable, handler de i økende grad på vegne av brukere. Kodeagenter kan autonomt gjennomgå kodebaser, kjøre kommandoer og samhandle med utviklerverktøy. Dette er oppgaver som tidligere krevde direkte menneskelig utførelse.
Med Codex har vi utformet disse funksjonene sammen med kontrollene organisasjoner trenger for sikker utrulling. Sikkerhetsteamene trenger metoder for å styre hvordan agenter opererer: hva de kan få tilgang til, når menneskelig godkjenning kreves, hvilke systemer de kan samhandle med, og hvilken telemetri som finnes for å forklare atferden deres.
Hos OpenAI ruller vi ut Codex med noen tydelige mål: holde agenten innenfor klare tekniske grenser, la utviklere jobbe raskt med handlinger med lav risiko, og gjøre handlinger med høyere risiko eksplisitte. Vi bevarer også agentbasert telemetri slik at vi kan forstå og revidere hva agenten gjorde. I praksis betyr det administrert konfigurasjon, begrenset kjøring, retningslinjer for godkjenning og agentbaserte logger.
Vi ruller ut Codex med et enkelt prinsipp om at den skal være produktivt innenfor et avgrenset miljø, at daglige handlinger med lav risiko skal være friksjonsfrie, og at handlinger med høyere risiko skal stoppe for gjennomgang.
Godkjenninger og sandkasse virker sammen. Sandkassen definerer den tekniske gjennomføringsgrensen, inkludert hvor Codex kan skrive, om den kan nå nettverket, og hvilke baner som forblir beskyttet. Retningslinjer for godkjenning avgjør når Codex må be om å utføre en handling, for eksempel når den må gjøre noe utenfor sandkassen. Brukere kan godkjenne handlingen én gang, eller godkjenne den typen handling for denne økten.
Når det gjelder forespørsler som krysser sandkassegrensen, bruker vi Automatisk gjennomgangsmodus(åpnes i et nytt vindu). Når den er slått på, godkjenner den automatisk enkelte typer forespørsler, slik at brukere sjeldnere må stoppe opp og godkjenne handlinger fra Codex. Codex sender den planlagte handlingen og den nyeste konteksten til underagenten for automatisk godkjenning, som automatisk kan godkjenne handlinger med lav risiko – eller handlinger med høy risiko med tilstrekkelig brukerautorisasjon – i stedet for å avbryte brukeren. Det holder Codex i gang med rutinearbeid, samtidig som den fortsatt stopper for handlinger med høyere risiko eller med utilsiktede konsekvenser.
Vi kjører ikke Codex med ubegrenset utgående tilgang. Våre administrerte retningslinjer for godkjenning tillater forventede destinasjoner, blokkerer destinasjoner vi ikke vil at Codex skal nå, og krever godkjenning for ukjente domener. Dette gjør at Codex fullfører vanlige, velkjente arbeidsflyter uten å gi bred nettverkstilgang.
Vi styrer også hvordan Codex autentiseres. CLI- og MCP-OAuth-legitimasjon lagres i operativsystemets sikre nøkkelring, innlogging tvinges gjennom ChatGPT, og tilgang er låst til vårt ChatGPT Enterprise-arbeidsområde. Dette gjør at bruk av Codex er knyttet til kontrollene våre på arbeidsområdenivå, og gjør Codex-aktivitet tilgjengelig i ChatGPT Compliance Logs Platform for vårt Enterprise-arbeidsområde.
Vi bruker regler slik at Codex ikke behandler hver skallkommando som like trygg. Vanlige ufarlige kommandoer som ingeniører bruker i daglig utvikling, tillates uten godkjenning utenfor sandkassen, og bestemte farlige kommandoer kan blokkeres eller kreve godkjenning. Det gjør at kan Codex bevege seg raskt gjennom vanlige utvikleroppgaver, samtidig som den fortsatt tvinger frem gjennomgang eller blokkerer mønstre vi ikke vil kjøre utenfor sandkassen.
Vi håndhever denne tilnærmingen gjennom en kombinasjon av skyadministrerte krav, administrerte macOS-innstillinger og lokale kravfiler. Krav er kontroller håndhevet av administrator som brukere ikke kan overstyre. De administrerte macOS-innstillingene og lokale kravfilene gjør det mulig for oss å holde en konsekvent grunnlinje, samtidig som vi fortsatt tester ulike konfigurasjoner etter team, brukergruppe eller miljø. Disse konfigurasjonene gjelder på tvers av lokale Codex-overflater, inkludert skrivebordsappen, CLI og IDE-utvidelsen.
Kontroll er bare halve jobben. Når agenter først er rullet ut, trenger sikkerhetsteam innsikt i hva disse agentene gjør og hvorfor. Tradisjonelle sikkerhetslogger er fortsatt nyttige når man ser på handlinger utført av Codex, men de svarer for det meste bare på hva som skjedde: en prosess som er startet, en fil som ble endret, en nettverkstilkobling som ble forsøkt. Forsvarere må fortsatt finne ut hvorfor Codex gjorde noe, eller hva brukerens hensikt var.
Codex kan gi sikkerhetsteam en mer agentbevisst oversikt. Codex støtter OpenTelemetry-loggeksport for ulike Codex-hendelser som brukerprompter, beslutninger om verktøygodkjenning, resultater av verktøykjøring, bruk av MCP-servere og nettverksproxyhendelser for tillatelse eller avslag. Codex-aktivitetslogger er også tilgjengelige gjennom OpenAI Compliance Platform for Enterprise- og Edu-kunder.
Hos OpenAI bruker vi Codex-logger sammen med vår KI-drevne agent for sikkerhetstriagering. Når et endepunktvarsel sier at Codex gjorde noe uvanlig, forteller endepunktsikkerhetsverktøyet oss at en mistenkelig hendelse oppsto. Codex-loggene bidrar deretter til å forklare den omkringliggende hensikten hos brukeren og agenten. Vår KI-agent for sikkerhetstriagering bruker Codex-logger til å undersøke den opprinnelige forespørselen, verktøyaktivitet, godkjenningsbeslutninger, verktøyresultater og eventuelle relevante beslutninger eller blokkeringer i retningslinjer for godkjenning. KI-agenten for sikkerhetstriagering presenterer analysen sin for sikkerhetsteamet vårt for gjennomgang, slik at de kan skille mellom forventet agentatferd, ufarlige feil og aktivitet som faktisk krever eskalering.
Vi bruker også den samme telemetrien operativt. Vi bruker disse loggene til å forstå hvordan intern bruk endrer seg, hvilke verktøy og MCP-servere som brukes, hvor ofte nettverkssandkassen blokkerer eller ber om handling, og hvor utrullingen fortsatt trenger justering. Disse OpenTelemetry-loggene kan sentraliseres i SIEM- og samsvarsloggsystemer.
Etter hvert som kodeagenter som Codex blir integrert i utviklingsarbeidsflyter, trenger sikkerhetsteam verktøy som er spesifikt utviklet for å håndtere denne overgangen. Codex gir kontrollflatene, konfigurasjonsstyringen, sandkassingen og den detaljerte agentbevisste telemetrien som trengs for å sikre trygg innføring. Med disse funksjonene på plass, kan sikkerhetsteam aktivere Codex med større trygghet og balansere utviklerproduktivitet med synligheten og kontrollen som kreves for sikkerhet på bedriftsnivå. Mer informasjon om konfigurering av Codex finnes her(åpnes i et nytt vindu), og om Compliance API her(åpnes i et nytt vindu).
