《让代码代理在安全边界内可用：OpenAI 的 Codex 运行方案》

导语

随着 AI 代理能够自主操作代码库、执行命令和调用开发工具，安全团队需要的不再只是能力，而是可治理的能力。OpenAI 公开了自身部署 Codex 的安全架构：沙箱边界 + 分级审批 + 网络策略 + 代理原生遥测，构成一套完整的「让代理在可控范围内高效工作」的治理方案。

1. 控制代理的运行边界

Codex 的运行遵循一个简单原则：低风险操作无摩擦通过，高风险操作必须停下来等审批。沙箱定义了技术执行边界——Codex 能写入哪些路径、能否访问网络、哪些目录受保护；审批策略则决定何时必须请求人工确认。Auto-review 模式让一个子代理自动批准低风险操作，减少对用户的打断，同时仍拦截高风险动作。

1.1 网络与身份管控

Codex 不拥有开放的出站网络访问权限。托管网络策略允许已知安全目的地、屏蔽禁止域名、对陌生域名要求审批。身份层面，CLI 和 MCP OAuth 凭据存储在操作系统安全密钥链中，登录强制通过 ChatGPT，访问绑定到企业工作区——这使得 Codex 的活动自动进入企业合规日志平台。