Безопасное использование Codex в OpenAI | OpenAI

Рассмотрим элементы управления, границы и телеметрию, которые OpenAI использует для управления агентами программирования в реальных рабочих процессах.

По мере развития систем искусственного интеллекта они все чаще действуют от имени пользователей. Агенты-программисты могут автономно просматривать репозитории, выполнять команды и взаимодействовать с инструментами разработки. Ранее эти задачи требовали непосредственного выполнения человеком.

В Codex мы разработали эти возможности наряду с элементами управления, необходимыми организациям для безопасного развертывания. Командам безопасности нужны способы регулирования работы агентов: к чему они имеют доступ, когда требуется одобрение человека, с какими системами они могут взаимодействовать и какие телеметрические данные существуют для объяснения их поведения.

В OpenAI мы внедряем Codex с несколькими четкими целями: удерживать агента в рамках четких технических границ, позволять разработчикам быстро выполнять действия с низким риском и явно указывать на действия с более высоким риском. Мы также сохраняем телеметрию, встроенную в агент, чтобы понимать и проверять его действия. На практике это означает управляемую конфигурацию, ограниченное выполнение, сетевые политики и журналы, встроенные в агент.

Контроль за работой Кодекса

Мы внедряем Codex, руководствуясь простым принципом: он должен быть продуктивным в ограниченной среде, повседневные действия с низким уровнем риска должны выполняться без проблем, а действия с более высоким уровнем риска должны прерываться для проверки.

Песочница и согласования

Системы утверждения и песочницы работают совместно. Песочница определяет технические границы выполнения, включая то, куда Codex может записывать данные, может ли он получить доступ к сети и какие пути остаются защищенными. Политика утверждения определяет, когда Codex должен запросить выполнение действия, например, когда ему нужно сделать что-то за пределами песочницы. Пользователи могут утвердить действие один раз или утвердить этот тип действия на протяжении всего сеанса.

Для запросов, выходящих за пределы песочницы, мы используем режим автоматической проверки (открывается в новом окне) , функция, которая при включении автоматически одобряет определенные типы запросов, чтобы уменьшить частоту остановок и подтверждения действий Codex пользователями. Codex отправляет запланированное действие и недавний контекст субагенту автоматического одобрения, который может автоматически одобрять действия с низким уровнем риска — или действия с высоким уровнем риска при достаточном уровне авторизации пользователя — вместо того, чтобы прерывать работу пользователя. Это позволяет Codex продолжать рутинную работу, останавливаясь при этом на действиях с более высоким уровнем риска или с непредвиденными последствиями.

ТОМЛ

1 # config.toml 2
3 # Включить автоматическую проверку 4 approvals_reviewer = «auto_review» 5 # Автоматически добавлять известные каталоги разработки в песочницу 6 sandbox_workspace_write.writable_roots = [ «~/development» ] 7
8 # requirements.toml 9
10 # Требуем, чтобы Codex работал внутри песочницы 11 allowed_sandbox_modes = [ «read-only» , «workspace-write» ]

доступ к сети

Мы не используем Codex с неограниченным исходящим доступом. Наша политика управления сетью разрешает ожидаемые адреса назначения, блокирует адреса, к которым мы не хотим, чтобы Codex обращался, и требует подтверждения для незнакомых доменов. Это позволяет Codex выполнять стандартные, заведомо исправные рабочие процессы без предоставления ему широкого доступа к сети.

ТОМЛ

1 # requirements.toml 2
3 # Обеспечьте, чтобы веб-запросы выполнялись только из кэша OpenAI 4 allowed_web_search_modes = [ «cached» ] 5
6 [experimental_network] 7 # Включить сетевой прокси 8 enabled = true 9 # Разрешить Codex взаимодействовать с localhost 10 allow_local_binding = true 11 # Блокировать все запросы к этому домену 12 denied_domains = [ «pastebin.com» ] 13 # Автоматически разрешать запросы к этим доменам 14 allowed_domains = [ «login.microsoftonline.com» , «*.openai.com» ]

Идентификационные данные и учетные данные

Мы также управляем процессом аутентификации Codex. Учетные данные CLI и MCP OAuth хранятся в защищенном хранилище ключей ОС, вход в систему осуществляется принудительно через ChatGPT, а доступ привязан к нашему корпоративному рабочему пространству ChatGPT. Это позволяет связать использование Codex с нашими средствами контроля на уровне рабочего пространства и делает данные об активности Codex доступными на платформе журналов соответствия ChatGPT для нашего корпоративного рабочего пространства.

ТОМЛ

1 # config.toml 2
3 # Сохранение учетных данных CLI в связке ключей ОС 4 cli_auth_credentials_store = «keyring» 5 # Сохранение учетных данных MCP в связке ключей ОС 6 mcp_oauth_credentials_store = «keyring» 7 # Требование аутентификации через ChatGPT 8 forced_login_method = «chatgpt» 9 # Требование аутентификации для конкретного рабочего пространства ChatGPT 10 forced_chatgpt_workspace_id = ««

Правила

Мы используем правила, чтобы Codex не рассматривал каждую команду оболочки как одинаково безопасную. Обычные, безобидные команды, которые инженеры используют в повседневной разработке, разрешены без одобрения за пределами песочницы, а определенные опасные команды могут быть заблокированы или требовать одобрения. Это позволяет Codex быстро справляться с обычными инженерными задачами, одновременно заставляя проверять или блокировать шаблоны, которые мы не хотим использовать за пределами песочницы.

Жаворонок

1 # default.rules 2
3 prefix_rule( 4 pattern = [ «gh» , «pr» , [ «view» , «list» ]], 5 decision = «allow» , 6 justification = «Разрешает проверку запросов на слияние GitHub только для чтения через CLI gh.» , 7 ) 8 prefix_rule( 9 pattern = [ «kubectl» , [ «get» , «describe» , «logs» ]], 10 decision = «allow» , 11 justification = «Разрешает проверку ресурсов Kubernetes для отладки.» , 12 )

Управляемые конфигурации

Мы применяем этот подход, используя комбинацию управляемых облаком требований, управляемых настройками macOS и локальных файлов требований. Требования — это параметры, установленные администратором, которые пользователи не могут изменить. Управляемые настройки macOS и локальные файлы требований позволяют нам поддерживать согласованную базовую конфигурацию, одновременно тестируя различные настройки для разных команд, групп пользователей или сред. Эти настройки применяются ко всем локальным интерфейсам Codex, включая настольное приложение, CLI и расширение IDE.

Встроенные в агента телеметрические данные и журналы аудита

Контроль — это только половина дела. После развертывания агентов группам безопасности необходимо понимать, что эти агенты делают и почему. Традиционные журналы безопасности по-прежнему полезны при анализе действий, предпринятых Codex, но в основном они отвечают на вопрос, что произошло: запущен процесс, изменен файл, предпринята попытка сетевого подключения. Специалистам по защите по-прежнему приходится выяснять, почему Codex что-то сделал или каковы были намерения пользователя.

Codex может предоставить группам безопасности более полное представление об агентах. Codex поддерживает экспорт журналов OpenTelemetry для различных событий Codex, таких как запросы пользователей, решения об утверждении инструментов, результаты выполнения инструментов, использование серверов MCP и события разрешения или запрета сетевого прокси. Журналы активности Codex также доступны через платформу соответствия OpenAI для корпоративных и образовательных клиентов.

ТОМЛ

1 # config.toml 2
3 [отель] 4 log_user_prompt = true 5 environment = «prod» 6
7 [otel.exporter.otlp-http] 8 endpoint = «http://localhost:14318/v1/logs» 9 protocol = «binary»

В OpenAI мы используем журналы Codex вместе с нашим агентом обработки запросов на основе ИИ. Когда оповещение на конечной точке сообщает о необычных действиях Codex, инструмент защиты конечной точки сообщает нам о подозрительном событии. Затем журналы Codex помогают объяснить намерения пользователя и агента. Наш агент обработки запросов на основе ИИ использует журналы Codex для анализа исходного запроса, активности инструмента, решений об утверждении, результатов работы инструмента и любых соответствующих решений или блокировок сетевой политики. Агент обработки запросов на основе ИИ передает результаты своего анализа нашей команде безопасности для проверки, чтобы отличить ожидаемое поведение агента, безобидные ошибки от действий, которые действительно требуют эскалации.

Мы также используем ту же телеметрию в оперативной работе. Эти журналы позволяют нам понять, как меняется внедрение внутри компании, какие инструменты и серверы MCP используются, как часто сетевая песочница блокирует или запрашивает подтверждение, и где еще требуется настройка развертывания. Эти журналы OpenTelemetry можно централизовать в системах SIEM и системах регистрации соответствия требованиям.

Взгляд в будущее

По мере интеграции таких агентов разработки, как Codex, в рабочие процессы, командам безопасности необходимы инструменты, специально разработанные для управления этим переходом. Codex предоставляет панели управления, управление конфигурацией, песочницу и подробную телеметрию с учетом работы агентов, необходимые для безопасного внедрения. Благодаря этим возможностям команды безопасности могут с большей уверенностью использовать Codex, обеспечивая баланс между производительностью разработчиков и прозрачностью и контролем, необходимыми для корпоративной безопасности. Дополнительную информацию о настройке Codex можно найти здесь (открывается в новом окне) , а API соответствия — здесь (открывается в новом окне) .

Источник: openai.com