Running Codex safely at OpenAI

AI 시스템이 더 능숙해짐에 따라, 사용자 대신 행동하는 경우가 점점 많아지고 있습니다. 코딩 에이전트는 저장소를 독립적으로 검토하고 명령을 실행하며 개발 도구와 상호작용할 수 있습니다. 이는 이전에 직접적인 인간 실행이 필요했던 작업들입니다.

Codex 와 함께, 우리는 조직들이 안전한 배포를 위해 필요한 제어 장치도 설계했습니다. 보안 팀은 에이전트가 어떻게 작동하는지 관리할 수 있는 방법을 필요로 합니다: 그들이 접근할 수 있는 것, 인간 승인 (human approval) 이 필요한 시점, 상호작용할 수 있는 시스템, 그리고 그들의 행동을 설명하기 위한 어떤 계측 데이터 (telemetry) 가 존재하는지.

OpenAI 에서 우리는 Codex 를 몇 가지 명확한 목표와 함께 배포합니다: 에이전트를 명확한 기술적 경계 안에 유지하고, 개발자가 저위험 행동에 대해 빠르게 진행할 수 있게 하며, 더 높은 위험의 행동을 명시적으로 만들도록 합니다. 또한 우리가 에이전트의 행동을 이해하고 감사 (audit) 할 수 있도록 에이전트 네이티브 계측 데이터를 보존합니다. 실제로는 관리된 구성, 제한된 실행, 네트워크 정책, 그리고 에이전트 네이티브 로그를 의미합니다.

우리는 Codex 를 배포할 때, 그것이 경계된 환경 내에서 생산적이어야 한다는 원칙을 따릅니다. 저위험 일상 행동은 마찰이 없어야 하며, 더 높은 위험의 행동은 검토를 위해 멈추어야 합니다.

승인 (Approvals) 과 샌드박싱 (sandboxing) 은 함께 작동합니다. 샌드박싱은 기술적 실행 경계를 정의하며, Codex 가 어디에 작성할 수 있는지, 네트워크에 도달할 수 있는지, 그리고 어떤 경로가 보호되어 있는지를 포함합니다. 승인 정책은 Codex 가 행동을 수행하기 위해 요청해야 하는 시점을 결정합니다. 예를 들어, 샌드박싱 밖에서 무언가를 해야 할 때와 같이.

사용자는 한 번에 행동을 승인하거나, 해당 세션 동안 해당 유형의 행동을 승인할 수 있습니다.

일상적인 승인 요청을 위해 우리는 Auto-review 모드를 사용하고 있으며, 이는 활성화되었을 때 특정 종류의 요청을 자동으로 승인하여 사용자가 Codex 행동에 대해 멈추고 승인을 해야 하는 빈도를 줄이는 기능입니다. Codex 는 계획된 행동과 최근 컨텍스트를 자동 승인 서브 에이전트 (auto-approval subagent) 에 보냅니다. 이 서브 에이전트는 사용자를 중단하지 않고 저위험 행동을 자동으로 승인할 수 있습니다.

우리는 Codex 를 무제한 아웃바운드 접근으로 실행하지 않습니다. 관리된 네트워크 정책은 예상되는 목적지를 허용하고, Codex 가 도달하지 않도록 하는 목적지를 차단하며, 익숙하지 않은 도메인을 위한 승인을 요구합니다. 이는 Codex 에 광범위한 네트워크 접근을 부여하지 않으면서 일반적인 알려진 좋은 워크플로우를 완료할 수 있게 합니다.

우리는 또한 Codex 가 인증하는 방식을 관리합니다. CLI 와 MCP OAuth 자격증표는 안전한 OS 키링에 저장되며, 로그인 은 ChatGPT 를 통해 강제되고 접근은 우리 ChatGPT 엔터프라이즈 워크스페이스에 고정됩니다. 이는 Codex 사용 을 우리 워크스페이스 수준의 제어와 연결시키고, Codex 활동을 우리 엔터프라이즈 워크스페이스의 ChatGPT Compliance Logs Platform 에서 사용할 수 있게 합니다.

우리는 규칙을 사용하여 Codex 가 모든 쉘 명령어를 동일하게 안전하지 않다고 여기지 않도록 합니다. 엔지니어들이 일상 개발에 사용하는 일반적인 무해한 명령어는 샌드박스 외에는 승인 없이 허용되며, 특정 위험한 명령어는 차단되거나 승인 필요를 요구합니다. 이는 Codex 가 일반적인 엔지니어링 작업을 빠르게 진행할 수 있도록 하고, 동시에 샌드박스 외부에서 실행하지 않으려는 패턴을 검토하거나 차단하도록 강제합니다.

우리는 클라우드 관리 요구사항, macOS 관리 선호도, 그리고 로컬 요구사항 파일을 조합하여 이 포지션을 적용합니다. 요구 사항은 사용자가 변경할 수 없는 관리자 강제 제어입니다. macOS 관리 선호도와 로컬 요구사항 파일은 일관된 기준을 유지하면서도 팀, 사용자 그룹, 또는 환경별로 다른 구성을 테스트할 수 있게 합니다. 이러한 구성은 데스크톱 앱, CLI, IDE 확장자 등 로컬 Codex 표면 전반에 적용됩니다.

제어는 일반의 절반뿐입니다. 에이전트가 배포되면 보안 팀은 이 에이전트들이 무엇을 하고 왜 하는지 이해해야 합니다. 전통적인 보안 로그는 Codex 가 취한 행동을 볼 때 유용하지만, 대부분이 무엇이 일어났는지 (프로세스 시작, 파일 변경, 네트워크 연결 시도) 를 설명합니다. 방어자는 여전히 Codex 가 무엇을 했는지, 또는 사용자의 의도를 파악해야 합니다.

Codex 는 보안 팀에게 더 에이전트 인식적인 관점을 제공할 수 있습니다. Codex 는 사용자 프롬프트, 도구 승인 결정, 도구 실행 결과, MCP 서버 사용, 네트워크 프로кси 허용 또는 거부 이벤트 등 다양한 Codex 이벤트를 위한 OpenTelemetry 로그 내보출을 지원합니다. 또한 엔터프라이즈 및 Edu 고객은 OpenAI Compliance Platform 을 통해 Codex 활동 로그를 사용할 수 있습니다.

OpenAI 는 Codex 로그를 AI 기반 보안 트라이지 에이전트와 함께 사용합니다. 엔드포인트 경보가 Codex 가 비정상적인 작업을 수행했다고 말하면, 엔드포인트 보안 도구는 의심스러운 사건이 발생했음을 알려줍니다. 이후 Codex 로그는 사용자와 에이전트의 주변 의도를 설명하는 데 도움이 됩니다. AI 보안 트라이지 에이전트는 원본 요청, 도구 활동, 승인 결정, 도구 결과, 그리고 관련 네트워크 정책 결정 또는 차단과 같은 정보를 Codex 로그를 통해 검사합니다. AI 보안 트라이지 에이전트는 분석 결과를 보안 팀에 노출하여 예상되는 에이전트 행동, 무해한 실수, 그리고 진정으로 격상해야 하는 활동을 구분합니다.

우리는 또한 동일한 관측 데이터를 운영적으로 사용합니다. 우리는 이러한 로그를 내부 채택이 어떻게 변화하고 있는지 이해하는 데 사용하며, 어떤 도구와 MCP 서버가 사용되고 있는지, 네트워크 샌드박스 가 얼마나 자주 차단 또는 알림을 제공하는지, 그리고 배포가 여전히 조정해야 하는 지점을 파악합니다. OpenTelemetry 로그는 SIEM 및 컴플라이언스 로깅 시스템에 중앙 집중화될 수 있습니다.

코딩 에이전트인 Codex 가 개발 워크플로우에 통합됨에 따라 보안 팀은 이 변화를 관리하기 위해 특별히 설계된 도구가 필요합니다. Codex 는 안전한 채택을 보장하기 위한 제어 표면, 구성 관리, 샌드박스 및 상세한 에이전트 인식 관측 데이터를 제공합니다. 이러한 기능을 갖춘 보안 팀은 개발자 생산성과 기업 보안에 필요한 가시성 및 제어를 균형 있게 유지하면서 Codex 를 더 큰 확신으로 활성화할 수 있습니다. Codex 를 구성하는 방법에 대한 자세한 정보는 여기에서 확인할 수 있으며, 컴플라이언스 API 는 여기를 참조하세요.