随着 AI 系统能力的增强,它们越来越多地代表用户执行操作。编程智能体 (coding agent) 可以自主审查代码仓库、运行命令并与开发工具交互。这些任务在以前都需要人工直接执行。
针对 Codex,我们在开发这些能力的同时,也设计了组织安全部署所需的控制机制。安全团队需要管理智能体的运行方式:它们可以访问什么、何时需要人工审批、可以与哪些系统交互,以及有哪些遥测数据可以解释它们的行为。
在 OpenAI 内部,我们部署 Codex 的目标非常明确:将智能体限制在清晰的技术边界内,让开发者在低风险操作上保持高效,并使高风险操作透明化。我们还保留了智能体原生的遥测数据,以便理解和审计智能体的行为。在实践中,这意味着采用托管配置、受限执行、网络策略以及智能体原生日志。
我们部署 Codex 时遵循一个简单的原则:它应当在有限的边界环境内高效工作;低风险的日常操作应当顺畅无阻;而高风险操作则必须暂停并接受审核。
审批与沙箱机制相辅相成。沙箱定义了技术执行的边界,包括 Codex 可以写入的位置、是否可以访问网络,以及哪些路径处于保护状态。审批策略则决定了 Codex 何时必须请求执行某项操作,例如当它需要在沙箱之外执行任务时。用户可以单次批准该操作,也可以针对当前会话批准该类操作。
对于跨越沙盒边界的请求,我们使用了“自动审核 (auto-review)”(在新窗口中打开)模式。开启该功能后,系统会自动批准某些类型的请求,以减少用户频繁停下来审批 Codex 操作的次数。Codex 会将计划执行的操作和近期上下文发送给自动审批子智能体,由其自动批准低风险操作,或在具备足够级别用户授权的情况下自动批准高风险操作,而不是中断用户的工作。这能让 Codex 在处理常规工作时保持连贯,同时仍能在涉及高风险或可能产生意外后果的操作时及时停下。
我们不会让 Codex 随意访问外部网络。通过托管网络策略,我们允许访问预期的目标地址,拦截不希望 Codex 触达的目标,并要求对不熟悉的域名进行审批。这让 Codex 能够完成常见的、确认无误的工作流,而无需给予其广泛的网络访问权限。
我们还统一管理 Codex 的身份认证方式。CLI(命令行界面)和 MCP OAuth 凭据存储在操作系统的安全钥匙串中,登录过程强制通过 ChatGPT 进行,且访问权限绑定在我们的 ChatGPT 企业工作空间。这确保了 Codex 的使用受限于工作空间级别的控制,并使 Codex 的活动记录能在企业工作空间的合规日志平台中查阅。
我们通过设定规则,确保 Codex 不会将所有 shell 命令都视为同等安全。工程师在日常开发中使用的常见无害命令,无需审批即可在沙箱外运行;而特定的危险命令则会被拦截或要求审批。这让 Codex 在处理普通工程任务时能保持高效,同时仍能对我们不希望在沙箱外运行的操作模式进行强制审核或拦截。
我们通过结合云端托管要求、macOS 托管偏好设置,以及本地需求文件来部署这些安全策略。这些“要求”是管理员强制执行的控制项,用户无法覆盖。通过 macOS 托管偏好设置和本地需求文件,我们既能保持一致的基准配置,又能按团队、用户组或环境测试不同的配置。这些配置适用于所有本地 Codex 界面,包括桌面应用、CLI 和 IDE 扩展插件。
控制只是工作的一半。智能体部署后,安全团队需要了解这些智能体正在做什么以及原因。在查看 Codex 执行的操作时,传统的安全日志仍然有用,但它们大多只能回答“发生了什么”:例如某个进程启动了、某个文件被修改了,或某个网络连接尝试。防御者仍需自行推断 Codex 为什么要执行某项操作,或者用户的意图是什么。
Codex 可以为安全团队提供更具智能体感知的视角。Codex 支持导出各种事件的 OpenTelemetry 日志,例如用户提示词、工具审批决策、工具执行结果、MCP 服务器使用情况,以及网络代理的允许或拒绝事件。此外,Enterprise 和 Edu 客户也可以通过 OpenAI 合规平台获取 Codex 活动日志。
在 OpenAI 内部,我们将 Codex 日志与我们的 AI 安全分流智能体 (security triage agent) 结合使用。当终端警报显示 Codex 进行了异常操作时,终端安全工具会告知我们发生了可疑事件。随后,Codex 日志能帮助解释用户和智能体当时的意图。我们的 AI 安全分流智能体会利用 Codex 日志来检查原始请求、工具活动、审批决策、工具执行结果,以及任何相关的网络策略决定或拦截记录。该智能体会将分流结果呈报给我们的安全团队进行审核,以区分正常的智能体行为、无害的错误,以及真正需要升级处理的活动。
我们同样在运营中使用这些遥测数据。我们利用这些日志来了解内部使用情况的变化、哪些工具和 MCP 服务器正在被使用、网络沙箱拦截或提示的频率,以及哪些环节仍需优化。这些 OpenTelemetry 日志可以统一汇集到 SIEM(安全信息和事件管理)及合规日志系统中。
随着像 Codex 这样的编程智能体融入开发工作流,安全团队需要专门为应对这一转变而设计的工具。Codex 提供了确保安全采用所需的控制界面、配置管理、沙箱机制以及详细的智能体原生遥测数据。有了这些能力,安全团队就能更有信心启用 Codex,在保障开发者生产力的同时,兼顾企业安全所需的透明度与控制力。关于配置 Codex 的更多信息,可以点击此处(在新窗口中打开)查阅,合规 API 信息请点击此处(在新窗口中打开)获取。
