📢 转载信息
原文链接:https://openai.com/index/building-codex-windows-sandbox
原文作者:David Wiesen
构建安全有效的沙箱:为 Windows 上的 Codex 提供支持
当我在 2025 年 9 月加入 Codex 工程团队时,Codex for Windows 还没有沙箱实现,这意味着 Windows 用户在使用 OpenAI 的编码智能体时被迫在两个次优选项之间进行选择:
- 审批几乎每一条命令(甚至是读取操作),这既低效又繁琐。
- 启用“完全访问”模式:让 Codex 在没有审批或限制的情况下运行所有命令,这减少了摩擦,但牺牲了监管。
Codex 是我们的编码智能体,运行在开发者的笔记本电脑上。默认情况下,Codex 以真实用户的权限运行,这意味着它可以执行用户能做的所有事情。这既强大又具有潜在危险性。为了在有效性和安全性之间找到平衡,我们需要一个能够在安全范围内强制执行文件写入和网络访问约束的沙箱环境。
现有 Windows 工具的局限性
我们评估了 AppContainer、Windows Sandbox 和强制完整性控制(MIC)标签等方案,但它们都无法完美契合 Codex 的需求:
- AppContainer:对于紧密作用域的应用程序很有效,但 Codex 需要驱动开放式的开发者工作流(Shell、Git、Python 等),其隔离形式过于狭窄。
- Windows Sandbox:这是一个一次性的轻量级虚拟机,但它无法直接操作用户的实际开发环境,且不在 Windows Home SKU 上提供。
- MIC 标签:在理论上很优雅,但将工作空间标记为“低完整性”会带来严重的系统安全隐患,改变了底层信任模型。
重新设计:从“免提权”到“特权沙箱”
我们的第一个原型尝试在不提升权限的情况下运行,利用 SIDs(安全标识符)和 写入限制令牌 来定义沙箱的文件修改权限。然而,网络抑制问题依然是一个重大痛点——我们无法在不提权的情况下有效地应用 Windows 防火墙规则。
最终的设计采用了“特权沙箱”方案:
- 专用用户:创建了
CodexSandboxOffline和CodexSandboxOnline两个本地用户,将沙箱进程与真实用户分离。 - 防火墙隔离:通过特权安装防火墙规则,精准拦截
CodexSandboxOffline用户的出站网络流量。 - 多二进制架构:我们开发了
codex-windows-sandbox-setup.exe进行初始化配置,并使用codex-command-runner.exe作为专用代理来启动受限进程。
这套系统虽然复杂,但每一部分复杂性都是为了满足实际需求而添加的,旨在构建一个既安全又对开发者透明的沙箱环境。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区