Сандбокс для Codex на Windows: как мы добились безопасности

Друзья, хочу поделиться из экосистемы OpenAI: я реализовал сандбокс для Codex на Windows.
Суть: стандартные Windows-инструменты (AppContainer, Windows Sandbox, MIC) не подходили. Первичный unelevated прототип применял синтетические SID и write-restricted токены и окружение для подавления сети — работало, но сетевые ограничения были ненадёжны, а изменение ACL дорого.
Решение: при одноразовой установке с правами администратора создаём пользователей CodexSandboxOnline/Offline, настраиваем firewall-правила и запускаем команды через отдельный runner с ограничённым токеном. Так получили надёжную изоляцию сети и управляемые права записи.
Почему это важно: Codex остаётся полезным и безопасным в реальных рабочих сценариях.
Какие компромиссы в sandbox на Windows Вы считаете приемлемыми?
#OpenAI #Codex #Windows #кибербезопасность


Последние комментарии
Комментариев пока нет.