Comment OpenAI dompte Codex sans brider ses développeurs

QUAND L’IA AGIT À VOTRE PLACE

À mesure que les systèmes d’IA deviennent plus performants, ils agissent de plus en plus au nom des utilisateurs. Les agents de codage peuvent examiner des dépôts de manière autonome, exécuter des commandes et interagir avec des outils de Développement. Ce sont des tâches qui nécessitaient auparavant une exécution humaine directe.

Avec Codex, ces capacités ont été conçues en parallèle des contrôles dont les organisations ont besoin pour un déploiement sûr. Les équipes de sécurité ont besoin de moyens pour régir le fonctionnement des agents : ce à quoi ils peuvent accéder, quand une approbation humaine est requise, avec quels systèmes ils peuvent interagir, et quelle télémétrie existe pour expliquer leur comportement.

LES OBJECTIFS DE DÉPLOIEMENT

Chez OpenAI, Codex est déployé avec quelques objectifs clairs : maintenir l’agent à l’intérieur de limites techniques bien définies, permettre aux développeurs d’agir rapidement sur les actions à faible risque, et rendre explicites les actions à risque plus élevé. La télémétrie propre à l’agent est également préservée afin de comprendre et d’auditer ce que l’agent a fait. Concrètement, cela passe par une configuration gérée, une exécution encadrée, des politiques réseau et des journaux natifs de l’agent.

UN PRINCIPE SIMPLE

Codex est déployé avec un principe simple : il doit être productif à l’intérieur d’un environnement délimité, les actions quotidiennes à faible risque doivent être fluides, et les actions à risque plus élevé doivent s’arrêter pour examen.

APPROBATIONS ET SANDBOXING

Les approbations et le sandboxing fonctionnent de concert. Le sandbox définit la frontière technique d’exécution, notamment où Codex peut écrire, s’il peut accéder au réseau, et quels chemins restent protégés. La politique d’approbation détermine quand Codex doit demander l’autorisation d’effectuer une action, par exemple lorsqu’il doit faire quelque chose en dehors du sandbox. Les utilisateurs peuvent approuver l’action une fois, ou approuver ce type d’action pour la session en cours.

# config.toml

# Turn on auto_review
approvalsreviewer = "autoreview"

# Add known development directories to the sandbox automatically
sandboxworkspacewrite.writable_roots = ["~/development"]

# requirements.toml

# Require Codex to operate inside the sandbox
allowedsandboxmodes = ["read-only", "workspace-write"]

LE MODE AUTO-REVIEW

Pour les demandes d’approbation routinières, le mode Auto-review est utilisé. Lorsqu’il est activé, ce mode approuve automatiquement certains types de demandes afin de réduire la fréquence à laquelle les utilisateurs doivent s’arrêter pour approuver les actions de Codex. Codex envoie l’action prévue et le contexte récent au sous‑agent d’approbation automatique, qui peut approuver automatiquement les actions à faible risque au lieu d’interrompre l’utilisateur. Cela permet à Codex de poursuivre le travail routinier tout en marquant une pause pour les actions à risque plus élevé ou ayant des conséquences imprévues.

POLITIQUE DE RÉSEAU

Codex n’est pas exécuté avec un accès sortant illimité. La politique réseau gérée autorise les destinations attendues, bloque les destinations que l’on ne souhaite pas que Codex atteigne, et exige une approbation pour les domaines inconnus. Cela permet à Codex d’exécuter les flux de travail courants et fiables sans lui accorder un accès réseau étendu.

# requirements.toml

# Ensure web fetch only comes from OpenAI's cache
allowedwebsearch_modes = ["cached"]

[experimental_network]
# Turn on Network Proxy
enabled = true
# Allow Codex to interact with localhost
allowlocalbinding = true
# Block all requests to this domain
denied_domains = ["pastebin.com"]
# Auto-allow requests to these domains
allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

IDENTITÉ ET AUTHENTIFICATION

La manière dont Codex s’authentifie est également gérée. Les identifiants CLI et MCP OAuth sont stockés dans le trousseau sécurisé du système d’exploitation, la connexion est imposée via ChatGPT, et l’accès est restreint à notre espace de travail ChatGPT Entreprise. Cela lie l’utilisation de Codex à nos contrôles au niveau de l’espace de travail et rend l’activité de Codex disponible dans la plateforme de journaux de conformité ChatGPT pour notre espace de travail d’entreprise.

# config.toml

# Store CLI Auth Creds in OS Keychain
cliauthcredentials_store = "keyring"

# Store MCP Creds in OS Keychain
mcpoauthcredentials_store = "keyring"

# Require Auth via ChatGPT
forcedloginmethod = "chatgpt"

# Require Auth to Specific ChatGPT Workspace
forcedchatgptworkspace_id = ""

AU-DELÀ DU CONTRÔLE : LA VISIBILITÉ

Une fois les agents déployés, les équipes de sécurité ont besoin de visibilité sur ce que ces agents font et pourquoi. Les journaux de sécurité traditionnels restent utiles pour examiner les actions effectuées par Codex, mais ils répondent surtout à la question de savoir ce qui s’est passé : un processus a démarré, un fichier a été modifié, une connexion réseau a été tentée. Les défenseurs doivent encore déterminer pourquoi Codex a fait quelque chose, ou quelle était l’intention de l’utilisateur.

UNE TÉLÉMÉTRIE CENTRÉE SUR L’AGENT

Codex peut offrir aux équipes de sécurité une vue plus consciente de l’agent. Codex prend en charge l’exportation de journaux OpenTelemetry pour divers événements de Codex, tels que les invites de l’utilisateur, les décisions d’approbation d’outils, les résultats d’exécution d’outils, l’utilisation de serveurs MCP, et les événements d’autorisation ou de refus du proxy réseau. Les journaux d’activité de Codex sont également disponibles via la plateforme de conformité OpenAI pour les clients Enterprise et Edu.

# config.toml

[otel]
loguserprompt = true
environment = "prod"

[otel.exporter.otlp-http]
endpoint = "http://localhost:14318/v1/logs"
protocol = "binary"

TRIAGE DE SÉCURITÉ ASSISTÉ PAR L’IA

Chez OpenAI, les journaux de Codex sont utilisés conjointement avec un agent de triage de sécurité alimenté par l’IA. Lorsqu’une alerte de point d’extrémité signale que Codex a fait quelque chose d’inhabituel, l’outil de sécurité de point d’extrémité indique qu’un événement suspect s’est produit. Les journaux de Codex aident alors à expliquer l’intention environnante de l’utilisateur et de l’agent. L’agent de triage de sécurité IA utilise les journaux de Codex pour inspecter la demande originale, l’activité des outils, les décisions d’approbation, les résultats des outils, et toute décision ou blocage de politique réseau pertinent. L’agent de triage de sécurité IA présente son analyse à notre équipe de sécurité pour examen, afin de distinguer le comportement attendu de l’agent, les erreurs bénignes, et les activités qui méritent véritablement une escalade.

USAGE OPÉRATIONNEL

La même télémétrie est également utilisée de manière opérationnelle. Ces journaux permettent de comprendre comment l’adoption interne évolue, quels outils et serveurs MCP sont utilisés, à quelle fréquence le sandbox réseau bloque ou demande une approbation, et où le déploiement doit encore être ajusté. Ces journaux OpenTelemetry peuvent être centralisés dans des systèmes de journalisation SIEM et de conformité.

VERS UNE ADOPTION SÛRE

À mesure que les agents de codage comme Codex s’intègrent dans les flux de travail de développement, les équipes de sécurité ont besoin d’outils spécifiquement conçus pour gérer cette transition. Codex fournit les surfaces de contrôle, la gestion de la configuration, le sandboxing et la télémétrie détaillée centrée sur l’agent nécessaires pour garantir une adoption sûre. Avec ces capacités en place, les équipes de sécurité peuvent activer Codex avec une plus grande confiance, en conciliant productivité des développeurs et visibilité et contrôle requis pour la sécurité d’entreprise. Plus d’informations sur la configuration de Codex sont disponibles ici (s’ouvre dans une nouvelle fenêtre), et sur l’API de conformité ici (s’ouvre dans une nouvelle fenêtre).