DocsDigest
Back to listLanguage: JA
ClaudeOpenAI NewsMay 8, 2026, 12:30 PM

Running Codex safely at OpenAI

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-haiku-4-5

Running Codex safely at OpenAI

codexsecuritysandboxingtelemetrygovernanceai-agentscompliance

Key Points

  • Sandboxing with auto-approval for low-risk actions
  • Managed network policies with domain allowlists and denylists
  • OpenTelemetry-based agent-native telemetry for audit trails

Summary

OpenAI has implemented comprehensive controls and governance mechanisms for safely deploying Codex coding agents in production environments. The approach balances developer productivity with security through technical boundaries, approval workflows, and detailed agent-native telemetry.

Key Points

  • Sandboxing and Approvals: Codex operates within defined technical boundaries with configurable sandbox rules. Auto-review mode automatically approves low-risk actions while requiring explicit approval for higher-risk operations.

  • Network Access Control: Managed network policies restrict outbound access to known-good destinations. Web fetching is limited to cached sources, and domain allowlists/denylists prevent unauthorized network interactions.

  • Identity and Credentials Management: CLI and MCP OAuth credentials are stored in OS keyrings, authentication is forced through ChatGPT, and access is pinned to enterprise workspace controls.

  • Command Rules: Prefix-based rules allow benign development commands (e.g., gh pr view, kubectl get) without approval while blocking or requiring review for dangerous patterns.

  • Agent-Native Telemetry: OpenTelemetry logging captures user prompts, approval decisions, tool execution results, and network policy events. Logs integrate with security triage agents and compliance platforms for audit and operational visibility.

  • Managed Configuration: Cloud-managed requirements, macOS preferences, and local configuration files enforce consistent baselines across desktop app, CLI, and IDE extension surfaces.

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-haiku-4-5

OpenAIでCodexを安全に実行する

AIシステムがより高度になるにつれて、ユーザーに代わって行動することが増えています。コーディングエージェントはリポジトリを自律的にレビューし、コマンドを実行し、開発ツールと相互作用できます。これらは以前は直接的な人間の実行が必要だったタスクです。Codexでは、これらの機能を組織が安全にデプロイするために必要なコントロールと共に設計しました。

セキュリティチームは、エージェントがどのように動作するかを管理する方法が必要です。エージェントが何にアクセスできるか、人間の承認が必要な場合、どのシステムと相互作用できるか、そしてその動作を説明するテレメトリが存在するかです。

OpenAIでは、Codexを以下の明確な目標でデプロイしています。

  • エージェントを明確な技術的境界内に保つ
  • 低リスクのアクションで開発者が迅速に進められるようにする
  • より高いリスクのアクションを明示的にする
  • エージェント固有のテレメトリを保持して、エージェントが何をしたかを理解・監査できるようにする

実際には、これは管理された設定、制約された実行、ネットワークポリシー、およびエージェント固有のログを意味します。

Codexの動作方法を制御する

Codexは、制限された環境内で生産的であるべき、低リスクの日常的なアクションは摩擦がないべき、より高いリスクのアクションはレビューのために停止すべきという単純な原則でデプロイされます。

サンドボックスと承認

承認とサンドボックスは連携して機能します。サンドボックスは技術的な実行境界を定義し、Codexが書き込める場所、ネットワークに到達できるかどうか、どのパスが保護されたままであるかを含みます。承認ポリシーは、Codexがサンドボックスの外で何かをする必要があるなど、アクションを実行するために許可を求める必要がある場合を決定します。

ユーザーはアクションを1回承認するか、そのセッションのそのタイプのアクションを承認できます。

定期的な承認リクエストについては、Auto-review modeを使用しています。これは有効にすると、ユーザーがCodexアクションを停止して承認する必要がある頻度を減らすために、特定の種類のリクエストを自動承認する機能です。Codexは計画されたアクションと最近のコンテキストを自動承認サブエージェントに送信し、ユーザーを中断させる代わりに低リスクのアクションを自動承認できます。これにより、Codexはルーチンワークを続行しながら、より高いリスクまたは意図しない結果をもたらすアクションで停止します。

# config.toml

# Turn on auto_review
approvals_reviewer = "auto_review"
# Add known development directories to the sandbox automatically
sandbox_workspace_write.writable_roots = ["~/development"]

# requirements.toml

# Require Codex to operate inside the sandbox
allowed_sandbox_modes = ["read-only", "workspace-write"]

ネットワークアクセス

Codexはオープンエンドの送信アクセスで実行しません。管理されたネットワークポリシーは予想される宛先を許可し、Codexが到達したくない宛先をブロックし、未知のドメインに対する承認を要求します。これにより、Codexは広いネットワークアクセスを与えることなく、一般的で既知の良好なワークフローを完了できます。

# requirements.toml

# Ensure web fetch only comes from OpenAI's cache
allowed_web_search_modes = ["cached"]

[experimental_network]
# Turn on Network Proxy
enabled = true
# Allow Codex to interact with localhost
allow_local_binding = true
# Block all requests to this domain
denied_domains = ["pastebin.com"]
# Auto-allow requests to these domains
allowed_domains = ["login.microsoftonline.com", "*.openai.com"]

ID認証と認証情報

Codexがどのように認証するかも管理します。CLIおよびMCP OAuth認証情報はセキュアなOSキーリングに保存され、ログインはChatGPTを通じて強制され、アクセスはChatGPTエンタープライズワークスペースに固定されます。これにより、Codexの使用がワークスペースレベルのコントロールに結び付けられ、CodexアクティビティがエンタープライズワークスペースのChatGPT Compliance Logs Platformで利用可能になります。

# config.toml

# Store CLI Auth Creds in OS Keychain
cli_auth_credentials_store = "keyring"
# Store MCP Creds in OS Keychain
mcp_oauth_credentials_store = "keyring"
# Require Auth via ChatGPT
forced_login_method = "chatgpt"
# Require Auth to Specific ChatGPT Workspace
forced_chatgpt_workspace_id = "<workspace-uuid>"

ルール

Codexがすべてのシェルコマンドを同じくらい安全に扱わないようにするためにルールを使用します。エンジニアが日常的な開発で使用する一般的な無害なコマンドはサンドボックスの外で承認なしで許可され、特定の危険なコマンドはブロックするか承認を要求できます。これにより、Codexは通常のエンジニアリングタスクを迅速に進めながら、サンドボックスの外で実行したくないパターンのレビューまたはブロックを強制できます。

# default.rules

prefix_rule(
    pattern = ["gh", "pr", ["view", "list"]],
    decision = "allow",
    justification = "Allows read-only GitHub PR inspection via gh CLI.",
)
prefix_rule(
    pattern = ["kubectl", ["get", "describe", "logs"]],
    decision = "allow",
    justification = "Allows Kubernetes resource inspection for debugging.",
)

管理された設定

このポスチャーは、クラウド管理の要件、macOS管理設定、およびローカル要件ファイルの組み合わせを通じて適用されます。要件は、ユーザーがオーバーライドできない管理者が強制するコントロールです。macOS管理設定とローカル要件ファイルにより、一貫したベースラインを維持しながら、チーム、ユーザーグループ、または環境ごとに異なる設定をテストできます。これらの設定は、デスクトップアプリ、CLI、IDE拡張機能を含むローカルCodexサーフェス全体に適用されます。

エージェント固有のテレメトリと監査証跡

コントロールは仕事の半分に過ぎません。エージェントがデプロイされると、セキュリティチームはこれらのエージェントが何をしているのか、そしてなぜそうしているのかについての可視性が必要です。

従来のセキュリティログは、Codexによって実行されたアクションを見るときに依然として有用ですが、主に何が起こったかに答えます。プロセスが開始され、ファイルが変更され、ネットワーク接続が試みられました。ディフェンダーはまだCodexが何かをした理由またはユーザーの意図を理解する必要があります。

Codexはセキュリティチームにより多くのエージェント対応ビューを提供できます。Codexはユーザープロンプト、ツール承認決定、ツール実行結果、MCPサーバー使用、ネットワークプロキシ許可またはブロックイベントなど、様々なCodexイベントのOpenTelemetryログエクスポートをサポートしています。Codexアクティビティログは、OpenAI Compliance PlatformのエンタープライズおよびEduカスタマー向けにも利用可能です。

# config.toml

[otel]
log_user_prompt = true
environment = "prod"

[otel.exporter.otlp-http]
endpoint = "http://localhost:14318/v1/logs"
protocol = "binary"

OpenAIでは、Codexログを当社のAI駆動セキュリティトリアージエージェントと共に使用しています。エンドポイントアラートがCodexが何か異常なことをしたと言うと、エンドポイントセキュリティツールは疑わしいイベントが発生したことを教えてくれます。Codexログはユーザーとエージェントの周囲の意図を説明するのに役立ちます。

AIセキュリティトリアージエージェントはCodexログを使用して、元のリクエスト、ツールアクティビティ、承認決定、ツール結果、および関連するネットワークポリシー決定またはブロックを検査します。AIセキュリティトリアージエージェントは、その分析をセキュリティチームに表示して、予想されるエージェント動作、無害なミス、および真に段階的な対応を保証するアクティビティを区別します。

同じテレメトリを運用上でも使用します。これらのログを使用して、内部採用がどのように変化しているか、どのツールとMCPサーバーが使用されているか、ネットワークサンドボックスがどのくらいの頻度でブロックまたはプロンプトしているか、およびロールアウトがまだチューニングが必要な場所を理解します。これらのOpenTelemetryログはSIEMおよびコンプライアンスログシステムで一元化できます。

今後の展開

Codexのようなコーディングエージェントが開発ワークフローに統合されるにつれて、セキュリティチームはこのシフトを管理するために特別に設計されたツールが必要です。Codexは、安全な採用を確保するために必要なコントロールサーフェス、設定管理、サンドボックス、および詳細なエージェント対応テレメトリを提供します。これらの機能が整備されれば、セキュリティチームはCodexをより大きな自信で有効にでき、開発者の生産性とエンタープライズセキュリティに必要な可視性とコントロールのバランスを取ることができます。

Codexの設定に関する詳細情報は[こちら](opens in a new window)で、Compliance APIは[こちら](opens in a new window)で見つけることができます。