OpenAI 公開其內部如何安全部署自家 AI 程式碼代理 Codex,核心策略是「沙箱限制執行邊界 + 自動審批低風險行為 + AI 安全分類代理處理告警」,讓開發效率與企業安全控管同步運作。
(前情提要:OpenAI Codex 重大升級:後臺操控 Mac、內建瀏覽器、影像生成,上線 111 個新外掛)
(背景補充:OpenAI 新推工程師代理人 Codex!AI 可寫功能、修 Bug、跑測試)
本文目錄
- 沙盒定義邊界,審批機制決定何時停下
- 哪些指令免審批,哪些直接封鎖
- AI 安全分類代理
OpenAI 本週公開了一份企業內部部署報告,說明自家安全團隊如何在生產環境中執行 Codex。這是一份實際落地的操作紀錄,從沙盒配置到告警分類,揭示 AI 代理被大型組織採用時,安全控管需要覆蓋哪些層面。
沙盒定義邊界,審批機制決定何時停下
OpenAI 在官方公告中指出,部署 Codex 的核心原則只有一條:讓代理在明確的技術邊界內保持高效,低風險行為不需要打斷用戶,高風險行為必須停下來等人審核。
這個原則落地後,拆成兩個互補機制:沙盒與審批策略。
沙盒負責定義 Codex 的執行空間,包括可以寫入哪些路徑、是否允許外連網路、哪些系統目錄受到保護。沙盒之外的動作,才需要進入審批流程。用戶可以一次性批准某個具體操作,或者批准該類操作在整個工作階段內自動透過。
對於日常例行操作,OpenAI 啟用了「自動審核模式」(Auto-review mode)。這個功能會將 Codex 計劃執行的動作與近期操作背景,同步傳給一個「自動審批子代理」。子代理判斷為低風險,就直接放行,不中斷用戶工作流;判斷為高風險或有潛在非預期後果,才會升級到人工確認。
網路管控的邏輯同樣如此。Codex 並非開放式外連存取,OpenAI 維護一份允許清單,列出 Codex 正常工作流程中需要觸及的目標域名。清單外的域名預設封鎖,遇到不熟悉的域名,則觸發審批流程。
身份驗證也被納入管控範圍。CLI 與 MCP OAuth 憑證存放在作業系統的安全金鑰環中,登入強制走 ChatGPT 企業工作區,Codex 的操作因此被納入 ChatGPT 企業版合規日誌平台,安全團隊可以統一查閱。
哪些指令免審批,哪些直接封鎖
OpenAI 不把所有 Shell 指令視為同等風險,而是建立了一套分層規則。工程師日常開發中常見的無害指令,允許在沙箱外直接執行,不需要審批。特定的高危指令,則直接封鎖或強制審批。
這套規則透過三個層次疊加生效:
- 雲端管理需求(管理員強制執行,用戶無法覆蓋)
- macOS 受管偏好設定
- 本地需求設定檔
這種架構讓 OpenAI 可以在保持全公司統一基準線的同時,按照團隊、用戶群組或環境需求測試不同的配置組合。相同的設定適用於 Codex 桌面應用、CLI 以及 IDE 擴充元件等所有本地介面。
這與外部研究的背景形成直接對比:研究顯示,AI 生成的程式碼出現安全漏洞的比例,比人工撰寫的程式碼高出 57%。GitHub Copilot 今年也被揭露存在 CVSS 9.6 的嚴重漏洞(CVE-2025-53773),可透過提示注入實現遠端程式碼執行。
這些資料說明,企業採用 AI 程式碼代理時,如果沒有對應的分層控管,暴露面會超出預期。OpenAI 的做法是把控管邏輯寫進配置層,而非依賴 AI 代理本身的判斷,讓規則執行成為技術事實,而非操作習慣。
AI 安全分類代理
OpenAI 在官方公告中強調,安全控管做得再好,部署後仍然需要可視性。傳統安全日誌能回答「發生了什麼」,例如某個程式啟動、某個檔案被修改、某個網路連線被嘗試。但安全人員真正需要知道的,是「Codex 為什麼這樣做」以及「這是用戶本來的意圖嗎」。
OpenAI 讓 Codex 支援 OpenTelemetry 日誌輸出,紀錄範圍包含:用戶提示、工具審批決策、工具執行結果、MCP 伺服器使用情況、網路代理的允許或拒絕事件。企業與教育機構客戶還可以透過 OpenAI 合規平台存取這些日誌。
更關鍵的是,OpenAI 內部把這些日誌接入了一個「AI 安全分類代理」。當端點偵測工具發現 Codex 的可疑行為並觸發告警,這個 AI 分類代理會自動調取相關 Codex 日誌,重建原始請求、工具活動、審批決策、工具結果以及網路政策的相關記錄,生成分析報告後送交安全團隊審閱,協助判斷這是正常的代理行為、無害的誤操作,還是真正需要升級處理的事件。
同一套遙測資料也被用於內部營運分析:追蹤內部採用趨勢、瞭解哪些工具和 MCP 伺服器被使用最頻繁、評估網路沙箱的封鎖與觸發頻率、判斷哪些環節的部署配置仍需調整。這些 OpenTelemetry 日誌可集中匯入 SIEM 與合規日誌系統。
對於仍在觀望 AI 代理安全性的組織來說,這份報告更像是一份參照清單:如果你的部署方案還沒覆蓋這四個層次,風險可能就在那裡。
📍相關報導📍
OpenAI Codex 的 Chrome 擴充功能上線,可以登入狀態操作你的電腦
OpenAI 推出 Claude Code「搬家工具」,不演了讓用戶無痛跳槽 Codex
OpenClaw 跟 Hermes Agent 該安裝哪一個?AI 代理入門、直接上手實戰教學
OpenAI新推工程師代理人Codex!AI可寫功能、修Bug、跑測試..限3種用戶搶先用
OpenAI 推出 100 美元 ChatGPT Pro 半價訂閱方案:Codex 用量現有 Plus 5 倍搶開發者
