隨著 AI 系統能力日益增強,它們越來越多地代表使用者執行任務。程式碼生成代理能夠自主審查儲存庫、運行指令並與開發工具互動。這些任務過去需要直接由人類執行。
在 Codex 的設計中,我們將這些能力與組織安全部署所需的控制措施結合。安全團隊需要有方法來管理代理的運行方式:它們可以存取什麼、何時需要人工批准、可以與哪些系統互動,以及存在哪些遙測數據來解釋其行為。
在 OpenAI,我們運行 Codex 有幾個明確的目標:將代理限制在明確的技術邊界內,讓開發者能夠快速執行低風險操作,並明確標示高風險操作。我們還保留代理原生的遙測數據,以便我們理解和審查代理的行為。實際上,這意味著受管理的配置、受限的執行、網路政策和代理原生的日誌。
我們運行 Codex 的一個簡單原則是,它應該在一個有界環境中保持生產力,低風險的日常操作應該是無摩擦的,而高風險的操作應該停止以供審查。
批准和沙盒環境協同工作。沙盒定義了技術執行邊界,包括 Codex 可以寫入的位置、是否可以存取網路,以及哪些路徑保持受保護。批准政策決定了 Codex 何時必須請求執行某項操作,例如當它需要執行沙盒之外的操作時。使用者可以一次性批准該操作,或在該會話中批准該類型的操作。
對於例行的批准請求,我們正在使用自動審批模式。此功能在開啟時,會自動批准某些類型的請求,以減少使用者需要停止並批准 Codex 操作的頻率。Codex 將計劃的操作和最近的上下文發送給自動審批子代理,該子代理可以自動批准低風險操作,而不是中斷使用者。這樣可以讓 Codex 在日常工作中保持運行,同時仍然停止處理高風險或具有意外後果的操作。
我們不會讓 Codex 擁有開放式的對外存取權限。我們的受管理網路政策允許預期的目的地,阻止我們不希望 Codex 存取的目的地,並要求對不熟悉的網域進行批准。這樣可以讓 Codex 完成常見的、已知的良好工作流程,而無需授予其廣泛的網路存取權限。
我們還管理 Codex 的身份驗證方式。CLI 和 MCP OAuth 憑證儲存在安全的作業系統金鑰圈中,登入強制通過 ChatGPT,並且存取固定在我們的 ChatGPT 企業工作區。這樣可以將 Codex 的使用與我們的工作區級別的控制措施綁定,並使 Codex 活動在 ChatGPT 合規日誌平台中對我們的企業工作區可用。
我們使用規則,以便 Codex 不會將每個 shell 命令都視為同等安全。工程師在日常開發中使用的常見良性命令在沙盒之外無需批准即可運行,而特定的危險命令可以被阻止或需要批准。這樣可以讓 Codex 在普通工程任務中快速運行,同時仍然強制審查或阻止我們不希望在沙盒之外運行的模式。
我們透過結合雲端管理的請求、macOS 管理的偏好設定和本地請求文件來應用這種策略。請求是管理員強制執行的控制措施,使用者無法覆蓋。macOS 管理的偏好設定和本地請求文件使我們能夠保持一致的基準,同時仍然可以按團隊、使用者群組或環境測試不同的配置。這些配置適用於本地 Codex 介面,包括桌面應用程式、CLI 和 IDE 擴充功能。
控制只是工作的一半。代理部署後,安全團隊需要了解這些代理的行為及其原因。傳統的安全日誌在查看 Codex 採取的行動時仍然有用,但它們主要回答了發生了什麼:一個進程啟動、一個文件被更改、一次網路連接嘗試。防禦者仍然需要弄清楚 Codex 為什麼這樣做,或者使用者的意圖。
Codex 可以為安全團隊提供更具代理意識的視圖。Codex 支援 OpenTelemetry 日誌匯出,用於各種 Codex 事件,例如使用者提示、工具批准決策、工具執行結果、MCP 伺服器使用情況以及網路代理允許或拒絕事件。Codex 活動日誌也可透過 OpenAI 合規平台提供給企業和教育客戶。
在 OpenAI,我們將 Codex 日誌與我們的 AI 驅動的安全分類代理一起使用。當端點警報表明 Codex 執行了異常操作時,端點安全工具會告訴我們發生了可疑事件。Codex 日誌隨後有助於解釋使用者和代理的周圍意圖。我們的 AI 安全分類代理使用 Codex 日誌來檢查原始請求、工具活動、批准決策、工具結果以及任何相關的網路政策決策或阻止。AI 安全分類代理將其分析結果呈現給我們的安全團隊進行審查,以區分預期的代理行為、良性錯誤以及真正需要升級的活動。
我們也在營運上使用相同的遙測數據。我們利用這些日誌來了解內部採用率的變化、正在使用哪些工具和 MCP 伺服器、網路沙盒被阻止或提示的頻率,以及部署仍需調整的地方。這些 OpenTelemetry 日誌可以集中在 SIEM 和合規日誌系統中。
隨著像 Codex 這樣的程式碼生成代理整合到開發工作流程中,安全團隊需要專門為管理這一轉變而設計的工具。Codex 提供了控制介面、配置管理、沙盒環境和詳細的代理感知遙測數據,以確保安全採用。有了這些功能,安全團隊就可以更有信心地啟用 Codex,平衡開發者生產力與企業安全所需的能見度和控制力。
