OpenAI 详解 Codex 安全部署：沙箱、自动审批与代理原生遥测

事件概述

OpenAI 于 2026 年 5 月 8 日发布博客，详细阐述了如何安全部署其编程代理 Codex。Codex 可自主审查仓库、运行命令和与开发工具交互，OpenAI 为此设计了多层控制与审计机制，确保企业级安全采用。

核心控制机制

沙箱与审批

• 沙箱定义执行边界，包括可写路径、网络可达范围等。
• 审批策略决定何时需要进行人工确认（如超出沙箱的操作）。用户可一次性批准或会话内批准该类操作。
• 自动审核模式（Auto-review mode）：对于常规低风险请求，Codex 自动放行，减少人工打断频率。该模式将计划动作和最近上下文发送给自动审批子代理，仅对高风险或可能产生意外后果的操作中断提示。

网络访问

Codex 不开放随意出站访问。管理员可通过 managed network policy 允许预期目标、阻止不期望的域名，并对陌生域要求审批。例如，web fetch 仅允许从 OpenAI 缓存获取，可配置允许/禁止的域名列表。

身份与凭据

• CLI 和 MCP OAuth 凭据存储在安全 OS 密钥环中。
• 登录强制通过 ChatGPT，访问限定于 ChatGPT Enterprise 工作区。
• 所有活动可追溯至 ChatGPT 合规日志平台。

命令规则

通过规则文件定义 shell 命令的安全等级：常见良性命令（如 gh pr view、kubectl get）无需审批即可执行，特定危险命令（如未列出的）可被阻止或要求审批。

托管配置

通过云端管理配置、macOS 托管偏好设置和本地 requirements 文件共同实施。Requirements 为管理员强控项，用户无法覆盖。配置适用于桌面应用、CLI 和 IDE 扩展。

代理原生遥测与审计

控制之外，安全团队需要了解代理行为及其原因。Codex 支持：

• OpenTelemetry 日志导出：记录用户提示、工具审批决策、执行结果、MCP 服务器使用、网络代理允许/拒绝事件。
• 活动日志可通过 OpenAI Compliance Platform（企业/教育客户）获取。

OpenAI 内部使用 Codex 日志配合 AI 安全告警代理：当端点检测到异常行为时，安全工具通知事件，Codex 日志则解释用户和代理的意图。该 AI 代理分析原始请求、工具活动、审批决策、结果及网络策略决策，最终呈现给安全团队区分正常行为、良性错误与真正需升级的事件。操作上，团队利用该日志观察内部采用变化、工具使用频率、网络沙箱拦截率等。

值得关注

OpenAI 强调 Codex 的安全设计目标是：让代理在受控边界内高效完成低风险任务，同时对高风险操作显式要求审批。通过沙箱、审批规则、网络策略、命令规则和代理原生日志的组合，安全团队可以在兼顾开发效率与可见性控制的前提下启用 Codex。