У міру того як системи ШІ стають дедалі потужнішими, вони все частіше діють від імені користувачів. Агенти програмування можуть автономно перевіряти репозиторії, виконувати команди та взаємодіяти з інструментами розробки. Це завдання, які раніше потребували безпосереднього виконання людиною.
У Codex ми розробили ці можливості разом із засобами контролю, які потрібні організаціям для безпечного розгортання. Командам безпеки потрібні способи керувати тим, як працюють агенти: до чого вони мають доступ, коли потрібне схвалення людини, з якими системами вони можуть взаємодіяти та яка телеметрія існує для пояснення їхньої поведінки.
В OpenAI ми розгортаємо Codex, маючи кілька чітких цілей: утримувати агента у межах чітких технічних обмежень, дозволяти розробникам швидко виконувати дії з низьким ризиком і робити дії з вищим ризиком явними. Ми також зберігаємо телеметрію, притаманну агентам, щоб розуміти й перевіряти, що саме робив агент. На практиці це означає керовану конфігурацію, обмежене виконання, мережеві політики та журнали дій агентів.
Ми розгортаємо Codex, керуючись простим принципом: він має продуктивно працювати в обмеженому середовищі, повсякденні дії з низьким ризиком мають виконуватися без зайвих перешкод, а дії з вищим ризиком мають зупинятися для перевірки.
Схвалення та ізоляція працюють разом. Ізольоване середовище визначає технічні межі виконання, зокрема де Codex може записувати дані, чи може він мати доступ до мережі та які шляхи залишаються захищеними. Політика погодження визначає, коли Codex має запитувати дозвіл на виконання дії, наприклад коли йому потрібно зробити щось поза межами ізольованого середовища. Користувачі можуть дозволити дію один раз або надати дозвіл на цей тип дії для поточної сесії.
Для запитів, що виходять за межі пісочниці, ми використовуємо режим Auto-review(відкривається у новому вікні): функцію, яка після ввімкнення автоматично погоджує певні типи запитів, щоб зменшити кількість випадків, коли користувачам доводиться зупинятися та підтверджувати дії Codex. Codex надсилає заплановану дію та нещодавній контекст субагенту автоматичного затвердження, який може автоматично затверджувати дії з низьким ризиком — або дії з високим ризиком за наявності достатнього рівня авторизації користувача — замість того, щоб переривати роботу користувача. Це дає змогу Codex продовжувати рутинну роботу, водночас зупиняючись на діях із вищим ризиком або діях із небажаними наслідками.
Ми не запускаємо Codex із необмеженим вихідним доступом. Наша керована мережева політика дозволяє доступ лише до очікуваних адрес, блокує небажані, до яких ми не хочемо, щоб Codex звертався, і вимагає схвалення для незнайомих доменів. Це дає змогу Codex виконувати стандартні, перевірені робочі процеси без надання йому широкого доступу до мережі.
Ми також керуємо тим, як Codex проходить автентифікацію. Облікові дані OAuth для CLI та MCP зберігаються в захищеному сховищі ключів ОС, вхід примусово здійснюється через ChatGPT, а доступ прив’язується до нашого корпоративного робочого простору ChatGPT. Це дає змогу прив’язати використання Codex до наших елементів керування на рівні робочого простору та робить активність Codex доступною в платформі журналів відповідності ChatGPT для нашого корпоративного робочого простору.
Ми використовуємо правила, щоб Codex не ставився до кожної shell-команди як до однаково безпечної. Поширені безпечні команди, які інженери використовують у повсякденній розробці, дозволені без схвалення поза межами ізольованого середовища, а окремі небезпечні команди можуть блокуватися або вимагати підтвердження. Це дає змогу Codex швидко проходити звичайні інженерні завдання, водночас примушуючи до перевірки або блокуючи патерни, які ми не хочемо запускати поза межами ізольованого середовища.
Ми реалізуємо цей підхід через поєднання вимог, керованих із хмари, керованих параметрів macOS і локальних файлів вимог. Вимоги — це адміністраторські елементи керування, які користувачі не можуть перевизначити. Керовані параметри macOS і локальні файли вимог дають нам змогу підтримувати узгоджену базову конфігурацію, водночас тестуючи різні налаштування за командами, групами користувачів або середовищами. Ці конфігурації застосовуються в усіх локальних інтерфейсах Codex, зокрема в настільному застосунку, CLI та розширенні IDE.
Контроль — це лише половина справи. Після розгортання агентів командам безпеки потрібна видимість того, що ці агенти роблять і чому. Традиційні журнали безпеки все ще корисні для аналізу дій, виконаних Codex, але вони здебільшого відповідають на запитання «що сталося»: було запущено процес, було внесено зміни в файл, було здійснено спробу мережевого з’єднання. Фахівцям із захисту усе ще доводиться з’ясовувати, чому Codex щось зробив, або яким був намір користувача.
Codex може надавати командам безпеки більш орієнтоване на агентів уявлення. Codex підтримує експорт журналів OpenTelemetry для різних подій Codex, зокрема користувацьких запитів, рішень щодо погодження інструментів, результатів виконання інструментів, використання сервера MCP, а також подій дозволу або заборони мережевого проксі. Журнали активності Codex також доступні через платформу відповідності OpenAI для клієнтів Enterprise та Edu.
В OpenAI ми використовуємо журнали Codex разом із нашим агентом сортування інцидентів безпеки на базі ШІ. Коли сповіщення кінцевої точки повідомляє, що Codex зробив щось незвичне, інструмент безпеки кінцевої точки повідомляє нам, що сталася підозріла подія. Потім журнали Codex допомагають пояснити пов’язаний із цим намір користувача й агента. Наш агент сортування інцидентів безпеки на базі ШІ використовує журнали Codex для перевірки початкового запиту, активності інструментів, рішень про погодження, результатів роботи інструментів, а також будь-якого релевантного рішення мережевої політики або блокування. Агент сортування інцидентів безпеки на базі ШІ надає результати свого аналізу нашій команді безпеки для перевірки, щоб відрізнити очікувану поведінку агента, нешкідливі помилки та активність, яка справді потребує ескалації.
Ми також використовуємо ту саму телеметрію в операційній діяльності. Ми використовуємо ці журнали, щоб зрозуміти, як змінюється внутрішнє впровадження, які інструменти та сервери MCP використовуються, як часто мережева ізоляція блокує або запитує підтвердження та де розгортання ще потребує налаштування. Ці журнали OpenTelemetry можна централізувати в системах SIEM і журналах відповідності.
Оскільки агенти кодування, як-от Codex, інтегруються в робочі процеси розробки, командам безпеки потрібні інструменти, спеціально створені для керування цим переходом. Codex надає інтерфейси керування, керування конфігурацією, ізоляцію та детальну телеметрію з урахуванням агентів, необхідні для безпечного впровадження. За наявності цих можливостей команди безпеки можуть впроваджувати Codex із більшою впевненістю, поєднуючи продуктивність розробників із видимістю та контролем, необхідними для безпеки підприємства. Більше інформації про налаштування Codex можна знайти тут(відкривається у новому вікні), а про Compliance API — тут(відкривається у новому вікні).
