詳細を読む
OpenAIは、コーディングエージェント「Codex」のWindows版に向けて、独自のサンドボックス機構を設計・実装したことを発表しました。macOSのSeatbeltやLinuxのseccompのような既成のOS級サンドボックスがWindowsには存在せず、開発者の実作業環境で安全にエージェントを動かすという課題に正面から取り組んでいます。
設計チームはまずAppContainer、Windows Sandbox、整合性ラベル(MIC)の3手段を検討しましたが、いずれもCodexの要件を満たしませんでした。AppContainerは汎用的な開発ワークフローに対応できず、Windows Sandboxはユーザーの実環境を直接操作できないうえHome版では利用不可、MICはワークスペース全体の信頼レベルを下げてしまうリスクがありました。
最終的に採用されたのは、専用Windowsユーザー(CodexSandboxOffline/Online)と制限付きトークンを組み合わせたアーキテクチャです。合成SIDによる書き込みACLでファイルシステムの操作範囲を限定し、Windows Firewallのユーザー単位ルールでネットワークアクセスを遮断します。初期プロトタイプでは環境変数ベースのネット制限にとどまっていましたが、専用ユーザー導入によりOS レベルの強制力を獲得しました。
実装はcodex.exe(本体)、codex-windows-sandbox-setup.exe(管理者権限でのセットアップ)、codex-command-runner.exe(制限トークンでのコマンド実行)の3バイナリに分離されています。管理者権限が必要なのはセットアップ時のみで、通常のCodex利用は一般ユーザー権限で動作します。セキュリティと使い勝手の両立を目指した設計判断の積み重ねが、最終的なアーキテクチャを形作っています。