《OpenAI 在 Windows 上为 Codex 搭建沙箱：从原型到可提权部署的取舍》

导语

Codex 在 Windows 上的问题不是“能不能运行命令”，而是能不能让一个云端推理、本地执行的编码 Agent 在真实开发机上既有足够权限完成工作，又不会随意改文件、联网外传数据。Windows 没有现成的 Seatbelt / seccomp 等价物，OpenAI 只能自己拼出一个沙箱：从无管理员权限的 ACL 原型，走到需要提权安装、专用本地用户和防火墙规则的最终方案。

1. Codex 需要的不是普通应用沙箱，而是“像开发者一样工作的受限进程树”

Codex 默认运行在开发者电脑上：CLI、IDE 扩展或桌面端负责把人类键盘前的对话和云端模型推理连接起来，模型再让本地 harness 执行命令。问题在于，Codex 默认拥有真实用户的权限：能读文件、改工作区、跑测试、建分支，也可能执行不该执行的命令。

默认模式的目标是平衡效率和安全：允许几乎到处读文件，只允许在工作区和配置的可写根目录内写文件，默认不允许联网。要把这些约束变成真实边界，而不是“请模型自觉”，就需要操作系统强制执行的沙箱。