Biztonságos sandboxot kap a Codex Windowsra – az OpenAI megoldotta a korábbi hiányosságokat
A korábbi Windows-verzióban a felhasználók a parancsok folyamatos jóváhagyása vagy a teljes hozzáférés közötti választásra kényszerültek, ami kompromisszumot jelentett a biztonság és a hatékonyság között.
Biztonságosabb és hatékonyabb lett az OpenAI Codex kódoló ügynöke Windows operációs rendszeren, miután a vállalat egy dedikált sandboxot fejlesztett ki hozzá — írja az OpenAI blogja.
A Codex korábban sandbox nélkül működött Windows alatt, ami azt jelentette, hogy a felhasználóknak két nem ideális opció közül kellett választaniuk: vagy minden parancsot jóváhagytak, ami lassú és frusztráló volt, vagy teljes hozzáférést adtak az ügynöknek, ami biztonsági kockázatot jelentett. David Wiesen, az OpenAI mérnöke szerint a meglévő Windows izolációs eszközök, mint az AppContainer, a Windows Sandbox és a Mandatory Integrity Control (MIC), nem feleltek meg a Codex nyílt végű fejlesztői munkafolyamatainak.
Az AppContainer túl korlátozó volt a tetszőleges szoftverek számára, a Windows Sandbox egy külön virtuális gépet igényelt, és nem volt elérhető minden Windows kiadáson, míg a MIC bonyolultnak bizonyult a dinamikus környezetekben.
Védelmi réteg a kódoló ügynöknek
Ezek a hiányosságok arra ösztönözték az OpenAI csapatát, hogy saját megoldást dolgozzanak ki. Az új sandbox korlátozott fájlhozzáférést és hálózati korlátozásokat biztosít, lehetővé téve a kódoló ügynökök biztonságos és hatékony működését.
A megoldás nem igényel rendszergazdai jogosultságokat. A fájlhozzáférés korlátozására a Windows Security Identifier (SID) és az írásvédett tokenek kombinációját használják. A SID-ek lehetővé teszik, hogy a sandbox saját identitással rendelkezzen, amely nem zavarja a gép többi részét, míg az írásvédett tokenek további ellenőrzést biztosítanak az írási műveletekhez.
Biztonságos működési környezet
Ez a megközelítés lehetővé teszi, hogy a sandbox pontosan meghatározott helyeken módosítsa a fájlrendszert, például az aktuális munkakönyvtárban és a konfigurált írható gyökerekben, miközben megtiltja az írást olyan érzékeny területeken, mint a .git vagy a .codex mappák. Az OpenAI szerint ez a megoldás hatékonyan kezeli a biztonsági és termelékenységi kihívásokat a Codex Windows-felhasználói számára, 2024 első negyedévében várható a további frissítések.