8 de maio de 2026

Executando o Codex com segurança na OpenAI

Uma visão dos controles, limites e da telemetria que a OpenAI usa para governar agentes de codificação em fluxos de trabalho reais.

Carregando…

À medida que sistemas de IA se tornam mais capazes, eles passam cada vez mais a agir em nome dos usuários. Agentes de programação podem revisar repositórios de forma autônoma, executar comandos e interagir com ferramentas de desenvolvimento. Essas são tarefas que antes exigiam execução humana direta.

Com o Codex, criamos essas capacidades junto com os controles de que as organizações precisam para uma implantação segura. Equipes de segurança precisam de formas de governar como agentes operam: o que podem acessar, quando a aprovação humana é necessária, com quais sistemas podem interagir e que telemetria existe para explicar seu comportamento.

Na OpenAI, implantamos o Codex com alguns objetivos claros: manter o agente dentro de limites técnicos bem definidos, permitir que desenvolvedores avancem rapidamente em ações de baixo risco e tornar explícitas as ações de maior risco. Também preservamos telemetria nativa de agentes para entender e auditar o que o agente fez. Na prática, isso significa configuração gerenciada, execução restrita, políticas de rede e logs nativos de agentes.

Controlando como o Codex opera

Implantamos o Codex com um princípio simples: ele deve ser produtivo dentro de um ambiente delimitado, ações cotidianas de baixo risco devem ser sem atrito, e ações de maior risco devem parar para revisão.

Sandboxing e aprovações

Aprovações e sandboxing funcionam juntos. O sandbox define o limite técnico de execução, incluindo onde o Codex pode escrever, se ele pode acessar a rede e quais caminhos permanecem protegidos. A política de aprovação determina quando o Codex precisa pedir para realizar uma ação, por exemplo quando precisa fazer algo fora do sandbox. Usuários podem aprovar a ação uma vez ou aprovar esse tipo de ação naquela sessão.

Para solicitações que ultrapassam os limites do sandbox, usamos modo de revisão automática⁠(abre em uma nova janela), um recurso que, quando ativado, aprova automaticamente certos tipos de solicitações para reduzir a frequência com que os usuários precisam parar e aprovar ações do Codex. O Codex envia a ação planejada e o contexto recente ao subagente de aprovação automática, que pode aprovar automaticamente ações de baixo risco — ou ações de alto risco com nível suficiente de autorização do usuário — em vez de interromper o usuário. Isso mantém o Codex avançando em trabalhos rotineiros, enquanto ainda interrompe ações de maior risco ou que possam ter consequências não intencionais.

TOML

1# config.toml
2
3# Turn on auto_review
4approvals_reviewer = "auto_review" 
5# Add known development directories to the sandbox automatically
6sandbox_workspace_write.writable_roots = ["~/development"] 
7
8# requirements.toml
9
10# Require Codex to operate inside the sandbox
11allowed_sandbox_modes = ["read-only", "workspace-write"]

Acesso à rede

Não executamos o Codex com acesso de saída irrestrito. Nossa política de rede gerenciada permite destinos esperados, bloqueia destinos que não queremos que o Codex acesse e exige aprovação para domínios desconhecidos. Isso permite que o Codex conclua fluxos de trabalho comuns e reconhecidamente seguros sem dar a ele acesso amplo à rede.

TOML

1# requirements.toml
2
3# Ensure web fetch only comes from OpenAI's cache
4allowed_web_search_modes = ["cached"] 
5
6[experimental_network]
7# Turn on Network Proxy
8enabled = true
9# Allow Codex to interact with localhost
10allow_local_binding = true 
11# Block all requests to this domain
12denied_domains = ["pastebin.com"] 
13# Auto-allow requests to these domains
14allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

Identidade e credenciais

Também gerenciamos como o Codex se autentica. Credenciais OAuth de CLI e MCP são armazenadas no chaveiro seguro do sistema operacional, o login é forçado pelo ChatGPT, e o acesso é vinculado ao nosso workspace empresarial do ChatGPT. Isso mantém o uso do Codex conectado aos nossos controles no nível do workspace e disponibiliza a atividade do Codex na ChatGPT Compliance Logs Platform do nosso workspace empresarial.

TOML

1# config.toml
2
3# Store CLI Auth Creds in OS Keychain
4cli_auth_credentials_store = "keyring"           
5# Store MCP Creds in OS Keychain
6mcp_oauth_credentials_store = "keyring"          
7# Require Auth via ChatGPT
8forced_login_method = "chatgpt"                  
9# Require Auth to Specific ChatGPT Workspace
10forced_chatgpt_workspace_id = "<workspace-uuid>"

Regras

Usamos regras para que o Codex não trate todo comando de shell como igualmente seguro. Comandos benignos comuns que engenheiros usam no desenvolvimento diário são permitidos sem aprovação fora do sandbox, enquanto comandos perigosos específicos podem ser bloqueados ou exigir aprovação. Isso permite que o Codex avance rapidamente em tarefas comuns de engenharia, ao mesmo tempo em que força revisão ou bloqueia padrões que não queremos executar fora do sandbox.

Starlark

1# default.rules
2
3prefix_rule(
4    pattern = ["gh", "pr", ["view", "list"]],
5    decision = "allow",
6    justification = "Allows read-only GitHub PR inspection via gh CLI.",
7)
8prefix_rule(
9    pattern = ["kubectl", ["get", "describe", "logs"]],
10    decision = "allow",
11    justification = "Allows Kubernetes resource inspection for debugging.",
12)

Configurações gerenciadas

Aplicamos essa postura por meio de uma combinação de requisitos gerenciados em nuvem, preferências gerenciadas do macOS e arquivos locais de requisitos. Requisitos são controles impostos por administradores que usuários não podem substituir. As preferências gerenciadas do macOS e os arquivos locais de requisitos nos permitem manter uma linha de base consistente, sem deixar de testar configurações diferentes por equipe, grupo de usuários ou ambiente. Essas configurações se aplicam a todas as superfícies locais do Codex, incluindo o app para desktop, a CLI e a extensão de IDE.

Telemetria nativa de agentes e trilhas de auditoria

Controle é apenas metade do trabalho. Depois que agentes são implantados, equipes de segurança precisam de visibilidade sobre o que esses agentes estão fazendo e por quê. Logs tradicionais de segurança ainda são úteis ao analisar ações realizadas pelo Codex, mas eles respondem principalmente ao que aconteceu: um processo foi iniciado, um arquivo foi alterado, uma conexão de rede foi tentada. Defensores ainda precisam entender por que o Codex fez algo, ou qual era a intenção do usuário.

O Codex pode oferecer às equipes de segurança uma visão mais consciente de agentes. O Codex oferece suporte à exportação de logs do OpenTelemetry para vários eventos do Codex, como prompts de usuários, decisões de aprovação de ferramentas, resultados de execução de ferramentas, uso de servidores MCP e eventos de permissão ou negação de proxy de rede. Logs de atividade do Codex também estão disponíveis pela OpenAI Compliance Platform para clientes Enterprise e Edu.

TOML

1# config.toml
2
3[otel]
4log_user_prompt = true
5environment = "prod"
6
7[otel.exporter.otlp-http]
8endpoint = "http://localhost:14318/v1/logs"
9protocol = "binary"

Na OpenAI, usamos logs do Codex junto com nosso agente de triagem de segurança com IA. Quando um alerta de endpoint indica que o Codex fez algo incomum, a ferramenta de segurança de endpoint nos informa que ocorreu um evento suspeito. Os logs do Codex então ajudam a explicar a intenção contextual do usuário e do agente. Nosso agente de triagem de segurança com IA usa logs do Codex para inspecionar a solicitação original, a atividade de ferramentas, as decisões de aprovação, os resultados de ferramentas e qualquer decisão ou bloqueio relevante da política de rede. O agente de triagem de segurança com IA apresenta sua análise à nossa equipe de segurança para revisão, a fim de distinguir entre comportamento esperado do agente, erros benignos e atividades que realmente justificam escalonamento.

Também usamos a mesma telemetria operacionalmente. Usamos esses logs para entender como a adoção interna está mudando, quais ferramentas e servidores MCP estão sendo usados, com que frequência o sandbox de rede está bloqueando ou solicitando aprovação, e onde a implantação ainda precisa de ajustes. Esses logs do OpenTelemetry podem ser centralizados em sistemas de SIEM e logging de conformidade.

Olhando para o futuro

À medida que agentes de programação como o Codex se integram aos fluxos de trabalho de desenvolvimento, equipes de segurança precisam de ferramentas criadas especificamente para gerenciar essa mudança. O Codex oferece as superfícies de controle, a gestão de configurações, o sandboxing e a telemetria detalhada e consciente de agentes necessários para garantir uma adoção segura. Com essas capacidades em vigor, equipes de segurança podem habilitar o Codex com mais confiança, equilibrando a produtividade dos desenvolvedores com a visibilidade e o controle exigidos pela segurança corporativa. Mais informações sobre como configurar o Codex podem ser encontradas aqui⁠(abre em uma nova janela), e a Compliance API aqui⁠(abre em uma nova janela).

Autoria

OpenAI

Continuar lendo

Ver tudo

Promovendo a segurança e as oportunidades para jovens por meio da liderança global

Assuntos Globais2 de jun. de 2026

Um guia compartilhado para avaliações confiáveis por terceiros

Segurança29 de mai. de 2026

Frontier Governance Framework > card image

Frontier Governance Framework da OpenAI

Segurança28 de mai. de 2026