OpenAI раскрыла защиту Codex: песочницы, согласования и аудит действий агента

OpenAI 8 мая 2026 года рассказала, как именно ограничивает Codex внутри своих рабочих процессов. Идея простая: кодовый агент должен ускорять разработку, но не получать бесконтрольный доступ к файлам, сети и инфраструктуре.

Границы для Codex Первый слой защиты — песочница.

Она задаёт технические рамки: куда Codex может писать, какие каталоги доступны на запись, разрешён ли выход в сеть и какие пути остаются защищёнными. Поверх этого работает политика согласований. Если агенту нужно сделать что-то за пределами разрешённой среды, он обязан запросить подтверждение.

Пользователь может одобрить одно конкретное действие или выдать разрешение на такой тип действий до конца сессии. Это снижает риск случайных и непрозрачных операций. Отдельно OpenAI использует режим Auto-review.

Когда Codex собирается пересечь границу песочницы, он передаёт план действия и недавний контекст отдельному сабагенту автоодобрения. Тот может автоматически пропустить низкорисковые запросы, а в некоторых случаях — и более чувствительные, если у пользователя уже есть достаточный уровень авторизации. В результате рутинные задачи не тормозят работу, а потенциально опасные действия всё равно останавливаются на проверке.

«Держать агента в чётких технических границах, ускорять низкорисковые действия и явно выделять рискованные» — так

OpenAI описывает цель этой схемы.

Сеть, доступы, правила Второй слой — управление доступами.

OpenAI не даёт Codex свободный исходящий доступ в интернет: сетевая политика разрешает ожидаемые направления, блокирует нежелательные и требует согласования для незнакомых доменов. Даже поиск и web fetch можно ограничить кэшированными ответами. Учётные данные CLI и MCP OAuth хранятся в системном keyring, вход принудительно идёт через ChatGPT, а доступ привязывается к конкретному enterprise-workspace. Это нужно, чтобы активность агента оставалась внутри корпоративных контуров контроля.

• Разрешённые режимы песочницы — только read-only и workspace-write На запись автоматически открываются лишь заранее известные рабочие директории Для сети можно включить прокси, разрешить localhost и блокировать отдельные домены Известные адреса вроде .openai.com могут проходить без ручного согласования * Административные требования нельзя отключить на стороне пользователя Есть и отдельные правила для shell-команд. Codex не считает все команды одинаково безопасными: обычные read-only операции можно пропускать без подтверждения даже вне песочницы, а опасные шаблоны — блокировать или отправлять на ревью. В примере OpenAI разрешает без лишних вопросов чтение pull request через gh pr view и list, а также диагностику Kubernetes через kubectl get, describe и logs. Базовую политику компания раскатывает через managed configs и requirements, поэтому одинаковый контур действует в desktop app, CLI и IDE extension.

Логи с объяснением OpenAI отдельно подчёркивает, что одних ограничений мало.

Обычные security-логи хорошо показывают, что произошло: запустился процесс, изменился файл, была попытка сетевого соединения. Но по ним трудно восстановить намерение агента и пользователя. Поэтому Codex умеет экспортировать OpenTelemetry-логи с более агентным контекстом: исходные запросы пользователя, решения по approvals, результаты вызовов инструментов, использование MCP-серверов и события сетевого прокси — что было разрешено и что заблокировано.

Для клиентов Enterprise и Edu эта активность также доступна через Compliance Logs Platform, а сами журналы можно централизовать в SIEM и compliance-системах. Внутри OpenAI эти данные использует AI-агент для security triage. Если endpoint-защита сообщает о странном действии Codex, команда безопасности смотрит не только на сам алерт, но и на сопутствующие журналы: какой был исходный запрос, какие инструменты запускались, что агент пытался сделать, какие решения приняла сеть и где требовалось одобрение.

Это помогает быстрее отделять ожидаемое поведение от безобидной ошибки и от случая, который действительно требует эскалации. Те же логи используют и операционно — чтобы понять, как растёт внутреннее использование Codex, какие инструменты востребованы и где политику ещё надо подкрутить.

Что это значит

OpenAI фактически показывает корпоративный шаблон для кодовых агентов: не умная модель вместо контроля, а модель внутри жёстко настроенной среды с аудитом и правилами. Для компаний, которые хотят внедрять таких помощников, это сигнал, что главный продуктовый вопрос теперь не только в качестве модели, но и в том, насколько хорошо она вписывается в безопасность, комплаенс и внутренние процессы.