Bỏ qua nội dung chính
OpenAI

8 tháng 5, 2026

Bảo mậtAn toàn

Vận hành Codex an toàn tại OpenAI

Tổng quan về các biện pháp kiểm soát, ranh giới, dữ liệu đo lường và giám sát từ xa mà OpenAI dùng để quản trị các tác nhân lập trình trong quy trình làm việc thực tế.

Đang tải…

Khi các hệ thống AI trở nên mạnh mẽ hơn, chúng ngày càng thực hiện hành động thay mặt người dùng. Các tác nhân lập trình có thể tự động xem xét các kho lưu trữ, chạy lệnh và tương tác với các công cụ phát triển. Đây là những tác vụ trước đây đòi hỏi con người trực tiếp thực hiện.

Với Codex, chúng tôi đã thiết kế những khả năng này cùng với các cơ chế kiểm soát mà các tổ chức cần để triển khai một cách an toàn. Các nhóm bảo mật cần có cách để quản trị cách các tác tử hoạt động: chúng có thể truy cập những gì, khi nào cần con người phê duyệt, chúng có thể tương tác với hệ thống nào và có dữ liệu telemetry nào để giải thích hành vi của chúng.

Tại OpenAI, chúng tôi triển khai Codex với một số mục tiêu rõ ràng: giữ tác nhân trong các ranh giới kỹ thuật rõ ràng, cho phép các nhà phát triển nhanh chóng thực hiện các hành động có rủi ro thấp và làm rõ các hành động có rủi ro cao hơn. Chúng tôi cũng lưu giữ dữ liệu đo từ xa gốc của tác nhân để có thể hiểu và kiểm tra những gì tác nhân đã làm. Trên thực tế, điều đó có nghĩa là cấu hình được quản lý, thực thi có ràng buộc, chính sách mạng và nhật ký gốc của tác nhân.

Kiểm soát cách thức hoạt động của Codex

Chúng tôi triển khai Codex theo một nguyên tắc đơn giản: Codex nên hoạt động hiệu quả trong một môi trường có giới hạn, các hành động hàng ngày có rủi ro thấp nên diễn ra suôn sẻ, còn các hành động có rủi ro cao hơn nên dừng lại để được xem xét.

Cách ly trong môi trường thử nghiệm và phê duyệt

Phê duyệt và môi trường thử nghiệm phối hợp với nhau. Môi trường thử nghiệm xác định ranh giới thực thi kỹ thuật, bao gồm nơi Codex có thể ghi, liệu Codex có thể truy cập mạng hay không, và các đường dẫn nào vẫn được bảo vệ. Chính sách phê duyệt xác định thời điểm Codex phải yêu cầu phê duyệt để thực hiện một hành động, chẳng hạn như khi cần làm điều gì đó bên ngoài môi trường thử nghiệm. Người dùng có thể phê duyệt hành động một lần hoặc phê duyệt loại hành động đó cho phiên đó.

Đối với các yêu cầu vượt qua ranh giới sandbox, chúng tôi đang sử dụng Chế độ tự động xét duyệt(mở trong cửa sổ mới). Đây là một tính năng mà khi được bật, sẽ tự động phê duyệt một số loại yêu cầu nhất định nhằm giảm số lần người dùng phải dừng lại và phê duyệt các hành động của Codex. Codex gửi hành động dự kiến và ngữ cảnh gần đây đến tác nhân phụ phê duyệt tự động, tác nhân này có thể tự động phê duyệt các hành động có rủi ro thấp—hoặc các hành động có rủi ro cao khi có đủ mức ủy quyền của người dùng—thay vì làm gián đoạn người dùng. Điều đó giúp Codex tiếp tục xử lý các công việc thường lệ, đồng thời vẫn dừng lại trước các hành động có rủi ro cao hơn hoặc có thể gây ra hậu quả ngoài ý muốn.

TOML

1
# config.toml
2

3
# Turn on auto_review
4
approvals_reviewer = "auto_review" 
5
# Add known development directories to the sandbox automatically
6
sandbox_workspace_write.writable_roots = ["~/development"] 
7

8
# requirements.toml
9

10
# Require Codex to operate inside the sandbox
11
allowed_sandbox_modes = ["read-only", "workspace-write"]

Quyền truy cập mạng

Chúng tôi không chạy Codex với quyền truy cập ra ngoài không giới hạn. Chính sách mạng được quản lý của chúng tôi cho phép các đích dự kiến, chặn các đích mà chúng tôi không muốn Codex truy cập, và yêu cầu phê duyệt đối với các tên miền chưa quen thuộc. Điều đó cho phép Codex hoàn thành các quy trình làm việc phổ biến, đã được xác minh là hoạt động tốt mà không cần cấp cho Codex quyền truy cập mạng rộng rãi.

TOML

1
# requirements.toml
2

3
# Ensure web fetch only comes from OpenAI's cache
4
allowed_web_search_modes = ["cached"] 
5

6
[experimental_network]
7
# Turn on Network Proxy
8
enabled = true
9
# Allow Codex to interact with localhost
10
allow_local_binding = true 
11
# Block all requests to this domain
12
denied_domains = ["pastebin.com"] 
13
# Auto-allow requests to these domains
14
allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

Danh tính và thông tin đăng nhập

Chúng tôi cũng quản lý cách Codex thực hiện xác thực. Thông tin xác thực OAuth cho CLI và MCP được lưu trữ trong kho khóa bảo mật của hệ điều hành, việc đăng nhập bắt buộc phải thông qua ChatGPT và quyền truy cập được cố định vào không gian làm việc ChatGPT Enterprise của chúng tôi. Điều đó giúp việc sử dụng Codex luôn gắn với các biện pháp kiểm soát ở cấp độ không gian làm việc của chúng tôi và giúp hoạt động của Codex có sẵn trong Nền tảng Nhật ký tuân thủ ChatGPT cho không gian làm việc doanh nghiệp của chúng tôi.

TOML

1
# config.toml
2

3
# Store CLI Auth Creds in OS Keychain
4
cli_auth_credentials_store = "keyring"           
5
# Store MCP Creds in OS Keychain
6
mcp_oauth_credentials_store = "keyring"          
7
# Require Auth via ChatGPT
8
forced_login_method = "chatgpt"                  
9
# Require Auth to Specific ChatGPT Workspace
10
forced_chatgpt_workspace_id = "<workspace-uuid>"

Quy tắc

Chúng tôi sử dụng các quy tắc để Codex không coi mọi lệnh shell là an toàn như nhau. Các lệnh lành tính phổ biến mà kỹ sư sử dụng trong quá trình phát triển hằng ngày được phép thực thi mà không cần phê duyệt bên ngoài môi trường thử nghiệm, trong khi các lệnh nguy hiểm cụ thể có thể bị chặn hoặc cần được phê duyệt. Điều đó cho phép Codex nhanh chóng xử lý các tác vụ kỹ thuật thông thường, đồng thời vẫn bắt buộc xem xét hoặc chặn các mẫu hành vi mà chúng tôi không muốn chạy bên ngoài môi trường sandbox.

Starlark

1
# default.rules
2

3
prefix_rule(
4
    pattern = ["gh", "pr", ["view", "list"]],
5
    decision = "allow",
6
    justification = "Allows read-only GitHub PR inspection via gh CLI.",
7
)
8
prefix_rule(
9
    pattern = ["kubectl", ["get", "describe", "logs"]],
10
    decision = "allow",
11
    justification = "Allows Kubernetes resource inspection for debugging.",
12
)

Cấu hình được quản lý

Chúng tôi áp dụng cách tiếp cận này thông qua sự kết hợp giữa các yêu cầu được quản lý trên đám mây, tùy chọn quản lý của macOS và các tệp yêu cầu cục bộ. Các yêu cầu là các biện pháp kiểm soát do quản trị viên thực thi mà người dùng không thể ghi đè. Các tùy chọn quản lý của macOS và các tệp yêu cầu cục bộ cho phép chúng tôi duy trì một cơ sở nhất quán trong khi thử nghiệm các cấu hình khác nhau theo đội nhóm, nhóm người dùng hoặc môi trường. Các cấu hình này áp dụng trên các nền tảng Codex cục bộ, bao gồm ứng dụng máy tính, giao diện dòng lệnh (CLI) và tiện ích mở rộng IDE.

Đo từ xa và dấu vết kiểm tra thuần tác nhân

Kiểm soát mới chỉ là một nửa công việc. Sau khi các tác nhân được triển khai, các đội ngũ bảo mật cần có khả năng quan sát rõ ràng những gì các tác nhân này đang làm và lý do tại sao. Nhật ký bảo mật truyền thống vẫn hữu ích khi xem xét các hành động do Codex thực hiện, nhưng phần lớn chúng chỉ trả lời điều gì đã xảy ra: một tiến trình đã khởi chạy, một tệp đã thay đổi, một kết nối mạng đã được thử nghiệm. Bên phòng thủ vẫn phải tự xác định lý do tại sao Codex thực hiện một hành động nào đó, hoặc ý định của người dùng.

Codex có thể cung cấp cho các nhóm bảo mật một góc nhìn rõ hơn về tác nhân. Codex hỗ trợ xuất nhật ký OpenTelemetry cho nhiều sự kiện Codex khác nhau, chẳng hạn như câu lệnh của người dùng, quyết định phê duyệt công cụ, kết quả thực thi công cụ, việc sử dụng máy chủ MCP và sự kiện cho phép hoặc từ chối proxy mạng. Nhật ký hoạt động của Codex cũng có sẵn thông qua Nền tảng Compliance của OpenAI dành cho khách hàng Enterprise và Edu.

TOML

1
# config.toml
2

3
[otel]
4
log_user_prompt = true
5
environment = "prod"
6

7
[otel.exporter.otlp-http]
8
endpoint = "http://localhost:14318/v1/logs"
9
protocol = "binary"

Tại OpenAI, chúng tôi sử dụng nhật ký Codex cùng với tác nhân phân loại bảo mật AI của chúng tôi. Khi một cảnh báo điểm cuối cho biết Codex đã thực hiện điều gì đó bất thường, công cụ bảo mật điểm cuối cho chúng tôi biết rằng đã xảy ra một sự kiện đáng ngờ. Nhật ký Codex sau đó giúp giải thích ý định xung quanh của người dùng và tác nhân. Tác nhân phân loại bảo mật AI của chúng tôi sử dụng nhật ký Codex để kiểm tra yêu cầu ban đầu, hoạt động của công cụ, quyết định phê duyệt, kết quả từ công cụ và mọi quyết định hoặc thao tác chặn có liên quan đến chính sách mạng. Tác nhân phân loại bảo mật AI trình bày phân tích của mình để nhóm bảo mật của chúng tôi xem xét nhằm phân biệt giữa hành vi dự kiến của tác nhân, các lỗi vô hại và hoạt động thực sự cần được nâng cấp xử lý.

Chúng tôi cũng sử dụng cùng dữ liệu đo từ xa đó về mặt vận hành. Chúng tôi sử dụng các nhật ký này để hiểu mức độ áp dụng nội bộ đang thay đổi ra sao, những công cụ và máy chủ MCP nào đang được sử dụng, tần suất môi trường thử nghiệm mạng chặn hoặc hiển thị lời nhắc, cũng như những điểm mà quá trình triển khai vẫn cần được tinh chỉnh. Các nhật ký OpenTelemetry này có thể được tập trung hóa trong SIEM và các hệ thống ghi nhật ký tuân thủ.

Hướng tới tương lai

Khi các tác nhân lập trình như Codex được tích hợp vào quy trình phát triển, các nhóm bảo mật cần các công cụ được thiết kế riêng để quản lý sự thay đổi này. Codex cung cấp các giao diện kiểm soát, quản lý cấu hình, cơ chế cô lập trong môi trường hộp cát và dữ liệu đo từ xa chi tiết có nhận biết tác nhân để đảm bảo triển khai an toàn. Khi các khả năng đó đã được triển khai, các nhóm bảo mật có thể sử dụng Codex với sự tự tin cao hơn, cân bằng giữa năng suất của nhà phát triển và khả năng hiển thị, kiểm soát cần thiết cho bảo mật doanh nghiệp. Bạn có thể tìm thêm thông tin về cách cấu hình Codex tại đây(mở trong cửa sổ mới) và về Compliance API tại đây(mở trong cửa sổ mới).

Tác giả

OpenAI

Hãy tiếp tục xem

Xem tất cả
oai 1x1
Thúc đẩy an toàn và tạo cơ hội cho thanh thiếu niên thông qua lãnh đạo toàn cầu

Các vấn đề toàn cầu

Technical foundations > Art Card
Cẩm nang chung cho các đánh giá đáng tin cậy của bên thứ ba

An toàn

Frontier Governance Framework > card image
Khung quản trị công nghệ tiên phong của OpenAI

An toàn