Как OpenAI страхует Codex: песочница, автоапрув и логи для безопасного ИИ-разработчика

Что нового

OpenAI рассказала, как запускает своего кодового агента Codex внутри компании так, чтобы он помогал разработчикам, но не ломал инфраструктуру и безопасность.

Ключевые новшества именно в способе эксплуатации Codex, а не в новой версии модели:

• Жёстко ограниченная среда выполнения: песочница с чёткими границами — где агент может писать файлы, имеет ли доступ к сети, какие пути в файловой системе защищены.
• Многоуровневая система одобрений: обычные низкорисковые действия проходят без трения, а потенциально опасные шаги требуют явного согласия пользователя.
• Режим Auto-review: подагент, который автоматически одобряет «рутинные» запросы Codex, чтобы не дёргать человека по мелочам, но останавливать подозрительные действия.
• Управляемая сетевой политикой работа в интернете: Codex не получает открытый исходящий доступ. Разрешены только ожидаемые домены, неизвестные требуют одобрения, нежелательные блокируются.
• Раздельная аутентификация через ChatGPT: все CLI и MCP OAuth‑ключи хранятся в защищённом хранилище ОС, вход идёт только через ChatGPT, а доступ жёстко привязан к рабочему пространству ChatGPT Enterprise.
• Разные уровни доверия к shell-командам: безопасные повседневные команды можно выполнять без одобрения даже вне песочницы, опасные — блокируются или требуют ручного апрува.
• Централизуемые конфигурации: облачные политики, управляемые настройки macOS и локальные requirements‑файлы, которые нельзя обойти пользователю.
• Агент-нативная телеметрия: экспорт логов Codex в формате OpenTelemetry — промпты, решения по инструментам, результаты их работы, использование MCP‑серверов, события сетевого прокси.
• Интеграция с OpenAI Compliance Platform: логи активности Codex доступны через платформу комплаенса для Enterprise и Edu‑клиентов.
• AI‑агент для разборов инцидентов: внутри OpenAI логи Codex анализирует отдельный ИИ‑триаж‑агент, который помогает службе безопасности отличать нормальное поведение от реальных инцидентов.

Цифровых метрик по скорости, стоимости или качеству кода OpenAI не приводит — фокус именно на архитектуре безопасности и управляемости Codex.

Как это работает

Песочница + политика одобрений

OpenAI строит работу Codex вокруг двух слоёв:

1. Sandbox — техническая граница:

   • какие директории доступны на запись;
   • есть ли у агента сетевой доступ и к каким хостам;
   • какие пути в системе всегда защищены.

2. Approval policy — когда Codex обязан спросить разрешение:

   • выход за пределы песочницы;
   • выполнение потенциально опасных команд;
   • обращение к незнакомым доменам.

Пользователь может:

• одобрить разовое действие;
• одобрить целый класс действий на текущую сессию.

Auto-review: подагент-ревьюер

Чтобы не заваливать разработчика попапами, OpenAI добавила Auto-review mode:

• Codex передаёт подагенту планируемое действие и недавний контекст.
• Подагент решает, можно ли автоматически одобрить запрос.
• Низкорисковые шаги проходят без участия человека, всё остальное — с ручным подтверждением.

Это позволяет Codex самостоятельно выполнять типовые задачи (например, прогнать тесты, поправить файл в репозитории), но останавливаться на шагах, которые могут повлиять на продакшн или безопасность.

Сетевая политика: не весь интернет, а «белый список + запрос на незнакомое»

Codex никогда не получает бесконтрольный исходящий доступ к сети:

• заранее заданный список ожидаемых направлений (например, репозитории, артефакт‑хранилища, известные API);
• список блокируемых доменов, куда Codex ходить не должен;
• все незнакомые домены требуют одобрения.

Это позволяет автоматизировать типовые безопасные сценарии (скачать зависимости, проверить CI‑статус), но не даёт агенту свободно сканировать сеть или утаскивать данные наружу.

Аутентификация и привязка к ChatGPT Enterprise

OpenAI жёстко связывает Codex с корпоративной инфраструктурой ChatGPT:

• CLI и MCP OAuth‑учётные данные хранятся в безопасном хранилище ключей ОС.
• Вход всегда идёт через ChatGPT, а не через отдельную учётку Codex.
• Доступ Codex привязан к рабочему пространству ChatGPT Enterprise.

Благодаря этому:

• применяются все уже настроенные политики доступа на уровне рабочего пространства;
• активность Codex попадает в ChatGPT Compliance Logs Platform.

Дифференцированные shell-команды

Codex не воспринимает все команды терминала одинаково:

• повседневные безопасные команды разработчиков (просмотр файлов, запуск тестов, простые git‑операции) можно выполнять без одобрения, иногда даже вне песочницы;
• опасные команды (удаление данных, изменение системных настроек, потенциально деструктивные скрипты) либо блокируются, либо требуют ручного подтверждения.

Набор правил задаёт команда безопасности. Это даёт баланс: Codex не тормозят на каждом ls, но не дают ему случайно удалить пол‑репозитория.

Управляемые конфигурации

Политики распространяются несколькими уровнями:

• облачные управляемые требования — централизованные правила, которые нельзя отключить локально;
• управляемые настройки macOS — профиль, который задаёт базовую конфигурацию для всех рабочих станций;
• локальные requirements‑файлы — конкретизация для команды, группы пользователей или среды.

Эти настройки действуют на все локальные интерфейсы Codex:

• десктопное приложение;
• CLI;
• IDE‑расширение.

Агент-нативная телеметрия и аудит

Какие логи собирает Codex

Помимо обычных логов безопасности (запуск процессов, изменения файлов, сетевые подключения), Codex даёт агент‑уровневую картину происходящего.

Поддерживается экспорт в формате OpenTelemetry для событий:

• пользовательские промпты;
• решения по одобрению инструментов (tool approval decisions);
• результаты выполнения инструментов (tool execution results);
• использование MCP‑серверов;
• события сетевого прокси — разрешения и блокировки.

Кроме того, логи активности Codex доступны через OpenAI Compliance Platform для клиентов Enterprise и Edu.

Как OpenAI использует эти логи

OpenAI сочетает логи Codex с ИИ‑агентом для триажа инцидентов:

1. Система защиты конечных точек сигнализирует: «Codex сделал что‑то необычное».
2. Триаж‑агент подтягивает из логов Codex:
   • исходный запрос пользователя;
   • какие инструменты агент вызывал;
   • какие решения по одобрению были приняты;
   • результаты работы инструментов;
   • сетевые события — что было разрешено, что заблокировано.
3. Агент формирует анализ для команды безопасности:
   • нормальное поведение агента;
   • безобидная ошибка пользователя или Codex;
   • действие, которое нужно эскалировать как инцидент.

Те же логи OpenAI использует для операционной аналитики:

• динамика внутреннего использования Codex;
• какие инструменты и MCP‑сервера реально востребованы;
• как часто сетевой sandbox блокирует или запрашивает подтверждение;
• какие настройки развёртывания нужно доработать.

Логи в формате OpenTelemetry можно централизовать в SIEM и системы комплаенса, чтобы не строить отдельный стек только под Codex.

Что это значит для вас

Для кого полезен такой подход к Codex

Если вы:

• руководите командой разработки и хотите внедрить кодового агента, не ломая процессы безопасности;
• отвечаете за безопасность или комплаенс и опасаетесь ИИ, который может запускать команды и ходить в сеть;
• строите собственные агенты и ищете референс по безопасной архитектуре,

подход OpenAI даёт готовый чек‑лист:

• всегда запускать агента в песочнице;
• разделять низкий и высокий риск действий через политику одобрений;
• ограничивать сеть белыми списками и ручным апрувом для неизвестных доменов;
• хранить все ключи и токены в защищённом хранилище и связывать агента с существующей системой аутентификации;
• собирать агент‑нативные логи и подключать их к SIEM.

Где Codex особенно уместен

Codex в такой обвязке хорошо подходит для задач:

• локальная разработка: правки кода, запуск тестов, рефакторинг, работа с репозиториями в пределах песочницы;
• автоматизация рутинных задач: обновление зависимостей, генерация шаблонного кода, проверка конфигов;
• внутренние инструменты: работа с MCP‑серверами, которые вы контролируете, с понятными правами и логированием;
• обучение и on‑boarding: новичок может доверить Codex рутину, не рискуя повредить продакшн‑системы.

Где стоит быть осторожнее

Даже с такой архитектурой Codex лучше не использовать как:

• полностью автономного DevOps‑оператора на продакшн‑инфраструктуре без многоуровневого апрува;
• инструмент для работы с чувствительными данными без жёстких DLP‑политик и проверки того, какие логи уходят в OpenAI;
• средство для массовых изменений в критичных системах, если у вас ещё нет отлаженного процесса ревью действий агента.

Если вы работаете из России, есть ещё один нюанс: доступ к ChatGPT Enterprise и связанным продуктам OpenAI может потребовать VPN и юридически корректную юрисдикцию для контракта. Это нужно учитывать при планировании внедрения.

Место на рынке

OpenAI описывает не сам Codex как продукт, а подход к его безопасному запуску. Прямых сравнений с другими кодовыми агентами или IDE‑ассистентами по скорости, цене или качеству кода нет.

Если смотреть на рынок в целом, подход OpenAI ближе к тому, что делают крупные поставщики корпоративных инструментов:

• ставка на централизуемые политики и управляемые конфигурации;
• глубокая интеграция с комплаенс‑платформой и SIEM;
• акцент на агент‑нативную телеметрию, а не только на системные логи.

Это будет особенно интересно крупным организациям, которые уже живут в мире SOC, SIEM, DLP и формальных требований комплаенса. Для небольших команд часть описанной архитектуры может показаться избыточной, но идеи песочницы, автоапрува и логирования полезны и там.

У OpenAI есть документация по настройке Codex и Compliance API — на них стоит опираться, если вы собираетесь строить похожую схему у себя.

---

Читайте также

• Как GitHub Copilot меняет работу QA‑команд в корпоративной разработке
• OpenAI запускает GPT‑5.5‑Cyber: как работает «доверенный доступ» к ИИ для кибербезопасности
• Google включает Gemini в Chrome, чтобы отлавливать скам прямо в браузере