OpenAIは2026年5月12日(現地時間)、Windows版のコーディングエージェント「Codex」において、安全で効果的なサンドボックス実装を開発したと発表した。これにより、CodexをWindows上で利用する際の非効率なコマンド承認や、完全アクセスモードによるセキュリティリスクといった課題の解決が図られる。同サンドボックスは、Codexがリアルユーザーの権限で動作する潜在的な危険性に対処し、ファイル書き込みやネットワークアクセスに制約を課す。
2025年9月にCodexエンジニアリングチームに加わったデービッド・ウィーセン氏(David Wiesen)によると、それまでWindows版Codexにはサンドボックスが実装されていなかった。このため、ユーザーはコーディングエージェントのほぼ全てのコマンド(読み取りを含む)を承認するか、または監視なしにCodexに全てのコマンドを実行させる「完全アクセスモード」のいずれかを選択する必要があった。Codexは開発者のラップトップ上で動作し、デフォルトではリアルユーザーの権限で実行されるため、ファイルの読み書きやGitブランチの作成など、ユーザーができること全てを実行可能であり、これは強力であると同時に潜在的な危険性を伴う。
既存のWindowsツールには、Codexの要件を満たすものがなかった。OpenAIは、AppContainer、Windows Sandbox、Mandatory Integrity Control (MIC) integrity labelingといった複数のソリューションを検討したが、いずれもCodexが想定するオープンエンドな開発ワークフローや、ユーザーの実環境への直接的なアクセスといった要件に対応できなかった。
これらのオプションが不適切と判断されたため、OpenAIはWindowsユーザーに良好なCodex体験を提供するために独自のソリューション設計に着手した。初期の目標の一つは、管理者権限の昇格(elevation)を必要とせずに動作させることであった。これにより、サンドボックスの設定や実行時にユーザーが管理者権限を要求されることなく、ファイル書き込みとネットワークアクセスに合理的な制限を設けることが目指された。
ファイル書き込みの制限には、Windowsのセキュリティ識別子(SIDs)と書き込み制限トークン(write-restricted tokens)が活用された。SIDsはWindowsがアクセス許可と紐付ける識別子であり、Codexサンドボックス専用のSIDsを作成することで、他のシステムへの干渉を防ぐ。書き込み制限トークンは、書き込み操作に追加のアクセスチェックを行うプロセスタイプであり、通常のユーザーIDによる許可に加えて、トークンの制限付きSIDリストに含まれるSIDにもアクセス許可が必要となる。これにより、アクセス制御リスト(ACLs)を用いて、サンドボックスがファイルシステムを変更できる範囲を正確に定義することが可能になった。
参考: OpenAI Blog (アーカイブ) — 2026年5月13日 00:00 (JST)