OpenAI mengajarkanmu cara menggunakan Codex dengan aman: batas sandbox, persetujuan otomatis, klasifikasi keamanan, kerangka penerapan perusahaan lengkap

OpenAI Mengungkapkan bagaimana mereka secara internal mengamankan penyebaran kode AI mereka sendiri Codex, dengan strategi inti yaitu “batasan eksekusi sandbox + persetujuan otomatis untuk perilaku berisiko rendah + agen klasifikasi keamanan AI yang menangani peringatan”, sehingga efisiensi pengembangan dan pengendalian keamanan perusahaan berjalan secara bersamaan.
（Latar belakang: Peningkatan besar OpenAI Codex: kontrol backend Mac, browser bawaan, pembuatan gambar, peluncuran 111 plugin baru）
（Tambahan latar belakang: OpenAI meluncurkan agen engineer baru Codex! Fungsi penulisan AI, perbaikan bug, menjalankan pengujian）

Daftar Isi Artikel

Toggle

• Mendefinisikan batasan sandbox, mekanisme persetujuan menentukan kapan berhenti
• Perintah mana yang tidak perlu persetujuan, mana yang langsung diblokir
• Agen klasifikasi keamanan AI

OpenAI minggu ini merilis sebuah laporan penyebaran internal perusahaan, menjelaskan bagaimana tim keamanan mereka menjalankan Codex di lingkungan produksi. Ini adalah catatan operasional yang nyata, dari konfigurasi sandbox hingga klasifikasi peringatan, mengungkapkan aspek apa saja yang perlu dikontrol keamanan saat organisasi besar mengadopsi agen AI.

Mendefinisikan batasan sandbox, mekanisme persetujuan menentukan kapan berhenti

Dalam pengumuman resmi, OpenAI menyatakan bahwa prinsip utama penyebaran Codex hanya satu: menjaga agen tetap efisien dalam batasan teknis yang jelas, perilaku berisiko rendah tidak perlu mengganggu pengguna, perilaku berisiko tinggi harus dihentikan dan menunggu peninjauan.

Prinsip ini diimplementasikan menjadi dua mekanisme pelengkap: sandbox dan strategi persetujuan.

Sandbox bertanggung jawab mendefinisikan ruang eksekusi Codex, termasuk jalur yang dapat ditulis, apakah diizinkan koneksi ke luar jaringan, dan direktori sistem mana yang dilindungi. Tindakan di luar sandbox, baru perlu melalui proses persetujuan. Pengguna dapat menyetujui satu operasi tertentu sekaligus, atau menyetujui agar jenis operasi tersebut otomatis dilanjutkan selama sesi kerja.

Untuk operasi rutin harian, OpenAI mengaktifkan “mode peninjauan otomatis” (Auto-review mode). Fitur ini akan mengirimkan tindakan yang direncanakan oleh Codex dan latar belakang operasi terbaru ke sebuah “sub-agen persetujuan otomatis”. Sub-agen ini menilai risiko rendah dan langsung membolehkan, tanpa mengganggu alur kerja pengguna; jika risiko tinggi atau berpotensi menyebabkan konsekuensi tak terduga, baru akan diangkat ke peninjauan manusia.

Logika pengendalian jaringan juga serupa. Codex tidak diizinkan melakukan koneksi keluar secara terbuka, OpenAI memelihara daftar izin yang mencantumkan domain target yang diperlukan dalam alur kerja Codex yang normal. Domain di luar daftar secara default diblokir, dan domain yang tidak dikenal akan memicu proses persetujuan.

Verifikasi identitas juga termasuk dalam pengendalian ini. Kredensial CLI dan MCP OAuth disimpan dalam kunci keamanan sistem operasi, login wajib melalui Workspace ChatGPT perusahaan, sehingga operasi Codex juga tercatat dalam platform log kepatuhan ChatGPT Enterprise, memungkinkan tim keamanan melakukan pemeriksaan secara terpadu.

Perintah mana yang tidak perlu persetujuan, mana yang langsung diblokir

OpenAI tidak menganggap semua perintah Shell sama risiko, melainkan membangun seperangkat aturan berlapis. Perintah yang umum digunakan engineer dalam pengembangan sehari-hari yang tidak berbahaya, diizinkan dijalankan langsung di luar sandbox tanpa perlu persetujuan. Perintah tertentu yang berisiko tinggi, langsung diblokir atau dipaksa melalui proses persetujuan.

Aturan ini berlaku melalui tiga lapisan yang saling tumpang tindih:

• Kebutuhan manajemen cloud (dijalankan oleh administrator secara paksa, pengguna tidak bisa override)
• Preferensi pengelolaan macOS
• File konfigurasi lokal

Arsitektur ini memungkinkan OpenAI menjaga standar perusahaan secara seragam, sambil menguji konfigurasi berbeda sesuai kebutuhan tim, grup pengguna, atau lingkungan. Pengaturan yang sama berlaku untuk aplikasi desktop Codex, CLI, dan ekstensi IDE serta antarmuka lokal lainnya.

Ini kontras langsung dengan latar belakang penelitian eksternal: studi menunjukkan bahwa kode yang dihasilkan AI memiliki risiko celah keamanan 57% lebih tinggi dibandingkan kode buatan manusia. GitHub Copilot tahun ini juga terungkap memiliki celah serius CVSS 9.6 (CVE-2025-53773), yang memungkinkan eksekusi kode jarak jauh melalui injeksi prompt.

Data ini menunjukkan bahwa tanpa pengendalian berlapis saat mengadopsi agen kode AI, risiko eksposur akan lebih besar dari yang diperkirakan. Pendekatan OpenAI adalah mengintegrasikan logika pengendalian ke dalam konfigurasi, bukan bergantung pada penilaian agen AI itu sendiri, sehingga aturan menjadi fakta teknis, bukan kebiasaan operasional.

Agen Klasifikasi Keamanan AI

Dalam pengumuman resmi, OpenAI menekankan bahwa meskipun pengendalian keamanan dilakukan dengan baik, pengawasan tetap diperlukan setelah deployment. Log keamanan tradisional bisa menjawab “apa yang terjadi”, misalnya program yang dijalankan, file yang diubah, koneksi jaringan yang dicoba. Tapi yang benar-benar dibutuhkan keamanan adalah memahami “mengapa Codex melakukan ini” dan “apakah ini sesuai niat pengguna”.

OpenAI memungkinkan Codex mendukung output log OpenTelemetry, mencatat: prompt pengguna, keputusan persetujuan alat, hasil eksekusi alat, penggunaan server MCP, dan kejadian izin atau penolakan proxy jaringan. Pelanggan perusahaan dan institusi pendidikan juga dapat mengakses log ini melalui platform kepatuhan OpenAI.

Yang lebih penting, OpenAI mengintegrasikan log ini ke dalam sebuah “agen klasifikasi keamanan AI”. Ketika endpoint detection tool mendeteksi perilaku mencurigakan dari Codex dan memicu alarm, agen klasifikasi AI ini secara otomatis menarik log terkait, merekonstruksi permintaan asli, aktivitas alat, keputusan persetujuan, hasil alat, dan kebijakan jaringan, lalu menghasilkan laporan analisis yang dikirim ke tim keamanan. Ini membantu menilai apakah perilaku tersebut normal, kesalahan tidak berbahaya, atau insiden yang perlu ditangani lebih serius.

Data telemetry yang sama juga digunakan untuk analisis operasional internal: melacak tren adopsi, memahami alat dan server MCP yang paling sering digunakan, mengevaluasi frekuensi blokir dan trigger sandbox jaringan, serta mengidentifikasi bagian mana dari konfigurasi yang perlu disesuaikan. Log OpenTelemetry ini dapat diintegrasikan ke SIEM dan sistem log kepatuhan.

Bagi organisasi yang masih ragu tentang keamanan agen AI, laporan ini lebih seperti daftar referensi: jika penyebaran Anda belum mencakup keempat lapisan ini, risiko kemungkinan ada di sana.