Cách OpenAI xây dựng Sandbox bảo mật trên Windows cho các tác nhân Codex
OpenAI đã chia sẻ kiến trúc sandbox trên Windows cho tác nhân Codex, sử dụng các cơ chế bảo mật gốc của hệ điều hành để cho phép thực thi mã tự động một cách an toàn. Giải pháp này giải quyết bài toán cân bằng giữa sự cô lập dữ liệu và nhu cầu truy cập môi trường phát triển thực tế của lập trình viên.
OpenAI vừa công bố chi tiết về kiến trúc sandbox trên Windows hỗ trợ cho tác nhân lập trình (coding agent) Codex của mình. Bài viết nhấn mạnh những đánh đổi kỹ thuật cần thiết để cân bằng giữa bảo mật, tính dễ sử dụng và năng suất làm việc trên hệ điều hành của Microsoft.
Theo OpenAI, các cơ chế cô lập hiện có của Windows chưa đáp ứng đầy đủ yêu cầu của các tác nhân AI tự chủ. Không có một nguyên thủy đơn lẻ nào trong Windows có thể ánh xạ hoàn hảo đến một môi trường thực thi an toàn cho loại tải công việc này.
Codex hoạt động cục bộ trên máy tính của nhà phát triển thông qua giao diện dòng lệnh (CLI), tiện ích mở rộng IDE và ứng dụng desktop. Vì tác nhân này có thể thực thi lệnh, đọc/ghi tệp và sửa đổi mã nguồn, OpenAI cần một cơ chế để hạn chế quyền truy cập mà không làm gián đoạn quy trình làm việc.
"Công việc này giúp Codex trên Windows trở nên mạnh mẽ và an toàn hơn, cho phép các nhà phát triển sử dụng tác nhân lập trình trong môi trường thực tế với sự tự tin cao hơn," OpenAI khẳng định trong bài đăng trên LinkedIn.
/filters:no_upscale()/news/2026/06/codex-windows-sandbox-design/en/resources/1Screenshot%202026-05-30%20at%204.33.32%E2%80%AFPM-1780184795983.png)
Kiến trúc Sandbox của OpenAI
Đánh giá các công nghệ hiện có
OpenAI đã đánh giá nhiều công nghệ bảo mật của Windows, bao gồm Windows Sandbox và Mandatory Integrity Control (MIC). Tuy nhiên, Windows Sandbox sử dụng máy ảo dùng một lần nên quá cô lập, trong khi Codex cần truy cập trực tiếp vào môi trường làm việc, công cụ và kho lưu trữ của nhà phát triển. Ngoài ra, Windows Sandbox cũng không có sẵn trên tất cả các phiên bản Windows.
Triển khai Sandbox không nâng cao (Unelevated Sandbox)
Phiên bản đầu tiên kết hợp các bộ định danh bảo mật (SIDs), danh sách kiểm soát truy cập (ACLs) và token bị hạn chế về quyền ghi. OpenAI đã tạo ra một SID tổng hợp là "sandbox-write", chỉ cấp quyền ghi cho các thư mục được chỉ định như không gian làm việc hiện tại. Các đường dẫn nhạy cảm như thư mục metadata của Git được bảo vệ bởi ACL.
Thiết kế lại Sandbox nâng cao (Elevated Sandbox)
Sau đó, hệ thống được thiết kế lại thành "sandbox nâng cao". Trong quá trình cài đặt, sandbox tạo các tài khoản Windows cục bộ chuyên biệt như CodexSandboxOffline và CodexSandboxOnline. Các lệnh được thực thi dưới các tài khoản cô lập này bằng cách sử dụng các token bị hạn chế. Quyền truy cập mạng được kiểm soát thông qua các quy tắc tường lửa, cho phép thực thi cả ranh giới hệ thống tệp và mạng trong khi vẫn duy trì tính tương thích với các quy trình phát triển phổ biến.
Marcus, một nhà phát triển, đã bình luận trên X về kiến trúc này: "Kiến trúc sandbox chính là người hùng thầm lặng. Mọi tác nhân lập trình khác đều coi hệ thống tệp của bạn như sân chơi. Việc Codex trên Windows thực sự cô lập môi trường có nghĩa là bạn có thể để nó chạy mà không cần can thiệp liên tục như một người phụ huynh lo lắng."
Khi các tác nhân lập trình ngày càng có khả năng thực hiện hành động thay mặt người dùng, các nhà cung cấp phải cân bằng giữa các ràng buộc bảo mật nghiêm ngặt và kỳ vọng về tự động hóa liền mạch. Cách tiếp cận của OpenAI minh họa việc các nguyên thủy của hệ điều hành hiện tại cần được kết hợp và điều chỉnh như thế nào để hỗ trợ lớp tải công việc mới nổi này.