Codexの権限・セキュリティ設定

Codexでは、AIが意図せぬ行動をとる可能性を考慮して、実行環境側でできることを制限する設計がなされている。

中心になるのは、（1）作業場所を区切る sandbox、（2）危ない操作の前に確認する approval、（3）コマンドごとに許可・確認・禁止を決める rules、そして（4）外部ツールごとの権限管理である。

このようにCodexは、AIの提案を作業範囲・確認・ルール・外部ツールの権限制御によって制限しながら実行する。

(1) sandbox

Codexが作業できる場所を区切る仕組みである。

作業対象のフォルダは自由な操作を許可する一方で、それ以外の場所は原則として触らせないか、操作前に確認を求める。

これにより、関係ないファイルや秘密情報に誤って触れるリスクを下げる。

(2) approval

危ない操作の前に確認を求める仕組みである。

たとえば、作業フォルダ外の変更、ネットワークアクセス、大きな削除、外部サービスへの送信などは、自動で進めずに一度止める対象になる。

これにより、普段の編集やテストは進めつつ、境界を越える操作だけ確認する。

(3) rules

rulesは、コマンドごとに許可・確認・禁止を決める仕組みである。

これは、AIに注意させるだけでなく、Codexの実行側で操作を制御するための仕組みである。

(4) 外部ツール

ネットワークアクセス

ファイルを読むことと、読んだ情報を外に送ることは別のリスクである。

そのため、Codexではネットワークアクセスも分けて考える。

外部と通信する操作はファイル操作と別のリスクとして扱い、確認を求めるか、そもそも許可しない方が安全である。

Codex本体の作業範囲を制限していても、外部ツールがDB、クラウド、メール、チケット管理などに広い権限を持っていると、そこが抜け道になる。

そのため、ツールごとに「何を読めるか」「何を変更できるか」「どの操作で確認を求めるか」を決める。

たとえば、メール送信は必ず確認し、チケット閲覧は許可し、チケット更新は確認を求め、本番環境の変更は禁止する、といった形で権限を絞る。

ーーーー