OpenAI agrega ejecución en sandbox al Agents SDK para control y ejecución segura de agentes de IA

OpenAI пытается закрыть одну из самых болезненных дыр в корпоративных AI-агентах: как дать модели доступ к файлам, коду и рабочему окружению, не превращая это в неконтролируемый риск для компании. Новое обновление Agents SDK добавляет нативное sandbox execution — изолированный слой выполнения, в котором агент может читать и писать файлы, запускать команды и работать с зависимостями, не получая прямой доступ к чувствительной инфраструктуре. Для команд, которые уже вышли за пределы демо и пытаются запускать агентные workflow в продакшене, это не косметический апдейт, а попытка решить сразу три проблемы: governance, надёжность и стоимость длинных прогонов.

До сих пор у разработчиков был неприятный выбор. Model-agnostic фреймворки давали свободу и позволяли не завязываться на одного вендора, но часто не раскрывали возможности frontier-моделей полностью. SDK от самих провайдеров были ближе к модели, однако не всегда давали нужную прозрачность над управляющим контуром.

А managed agent API упрощали запуск, но жёстко ограничивали, где именно агент работает и как он получает доступ к корпоративным данным. OpenAI пытается снять этот компромисс через model-native harness — управляющий слой, который лучше согласован с тем, как модели реально работают в длинных многошаговых задачах. В обновлённый SDK вошли конфигурируемая память, оркестрация с учётом sandbox, инструменты работы с файловой системой в духе Codex, поддержка MCP, AGENTS.

md, shell и apply patch. Практический кейс уже есть у Oscar Health. Компания тестировала новую инфраструктуру на клиническом workflow, где нужно разбирать длинные медицинские записи, извлекать корректные метаданные и, что важнее, правильно определять границы отдельных эпизодов лечения внутри сложных документов.

По словам команды Oscar, предыдущие подходы не давали достаточной надёжности для продакшена. Новый Agents SDK сделал такой сценарий жизнеспособным: система быстрее разбирает историю пациента, а сотрудники получают более понятную картину конкретного визита. Для интеграции с корпоративной средой OpenAI также добавила абстракцию Manifest.

Она описывает рабочее пространство агента: какие локальные файлы можно примонтировать, куда писать результаты и из каких хранилищ подтягивать данные. Поддерживаются AWS S3, Azure Blob Storage, Google Cloud Storage и Cloudflare R2. Главный акцент обновления — безопасность.

OpenAI исходит из того, что любой агент, который читает внешний контент или исполняет сгенерированный код, рано или поздно столкнётся с prompt injection и попытками эксфильтрации данных. Поэтому компания разделяет control harness и compute layer. Учётные данные и основной управляющий контур остаются вне среды, где исполняется код, созданный моделью.

Это снижает шанс того, что вредоносная инструкция внутри документа или запроса сможет добраться до ключей, внутренних API или соседних систем. Отдельно решается и проблема надёжности длинных прогонов: если контейнер падает на девятнадцатом шаге из двадцати, run не нужно начинать с нуля. SDK сохраняет состояние во внешнем слое, умеет делать snapshot и rehydration, а затем продолжать задачу из последней контрольной точки в новом контейнере.

Такая архитектура одновременно уменьшает облачные расходы и упрощает масштабирование: запуски можно распределять по нескольким sandbox, изолировать subagents и распараллеливать workload. Для рынка это важный сдвиг: OpenAI продвигает не просто ещё один SDK для агентов, а более полный инфраструктурный стандарт для корпоративного запуска agentic-систем. Если подход приживётся, компания усилит позиции не только на уровне моделей, но и на уровне операционного слоя, где принимаются решения о безопасности, аудите и стоимости внедрения.

Новые возможности уже доступны через API по стандартной модели тарификации, сначала для Python, а поддержка TypeScript заявлена позже. Следующим логичным шагом выглядят code mode, subagents и более плотная интеграция с внутренними инструментами компаний — то есть всё, что нужно, чтобы агент из эксперимента превратился в управляемый рабочий процесс.