OpenAI stavia pre Codex na Windowse vlastný sandbox namiesto plného prístupu

OpenAI zverejnilo technický rozbor, ktorý je zaujímavý najmä preto, že nepredáva ďalšiu funkciu agentického kódovania, ale rozoberá základný problém nasadenia. Codex na Windowse doteraz podľa firmy nemal porovnateľný sandbox ako na macOS či Linuxe, takže používateľ stál pred nepríjemnou voľbou: buď schvaľovať takmer každý príkaz vrátane bežných čítaní, alebo agentovi odomknúť plný prístup. Pre firemné tímy, ktoré chcú agentov pustiť bližšie k reálnemu repozitáru, je práve táto vrstva dôležitejšia než samotný marketing okolo modelu. Rozhoduje totiž o tom, či sa dá agent pustiť do testov, buildov a úprav bez toho, aby sa bezpečnostná politika rozpadla hneď pri prvom použití.

OpenAI opisuje Codex ako cloudový model spojený s lokálnym vykonávacím prostredím na notebooku vývojára. To znamená, že riziko neleží len v odpovedi modelu, ale aj v tom, čo všetko môže jeho lokálny harness spustiť: čítanie súborov, úpravy kódu, spúšťanie testov, prácu s Gitom či s balíčkovacími nástrojmi. Firma preto zdôrazňuje, že bezpečný default nemá byť postavený na dôvere v model, ale na obmedzeniach vynútených operačným systémom. Cieľom nového riešenia je dovoliť čítanie takmer všade, zapisovanie len do pracovného priestoru a sieť len v medziach, ktoré si používateľ vedome zvolí.

Najzaujímavejšia časť príspevku je zoznam technológií, ktoré OpenAI na Windowse odmietlo. Natívny AppContainer síce ponúka silnú hranicu, no je navrhnutý skôr pre aplikácie s vopred známymi potrebami, nie pre otvorený agentický workflow, ktorý môže počas jednej úlohy spúšťať shell, Git, Python, build nástroje aj ďalšie binárky. Windows Sandbox je zasa príliš ťažký a oddeľuje agenta od skutočného checkoutu používateľa; navyše nie je dostupný vo všetkých edíciách Windowsu. Firma spomína aj Mandatory Integrity Control, ale naznačuje, že ani ten sám osebe nedával kombináciu kompatibility a jemnej kontroly, ktorú agentické kódovanie potrebuje.

OpenAI preto išlo cestou vlastnej implementácie. V článku opisuje najprv skorý prototyp takzvaného „unelevated sandboxu“, ktorý znižoval oprávnenia procesov, no narážal na praktické limity pri tom, ako Windows deleguje prístup k súborom a nástrojom. Neskorší „elevated sandbox“ mal podľa firmy oddeliť rozhodovanie o pravidlách od samotného vykonávania tak, aby Codex mohol reálne pracovať s používateľským prostredím, ale zároveň nemal neobmedzený dosah na disk a sieť. Pre agentické produkty je to dôležitý signál: nestačí mať len model, treba mať aj lokálny bezpečnostný runtime, ktorý sa správa predvídateľne pri dlhších a komplikovanejších behoch.

Téma je praktická aj preto, že vývojárske organizácie sa dnes pri agentoch netrápia len kvalitou generovaného kódu. Rovnako dôležité je, či sa agent dá nasadiť na reálnych firemných notebookoch bez výnimiek v politike endpoint security, bez ručného schvaľovania každej banalnosti a bez toho, aby bezpečnostný tím musel tolerovať režim „urob čokoľvek“. Ak má agent vykonávať desiatky krokov za sebou, rozdiel medzi izolovaným zapisovaním do workspace a úplným prístupom je obrovský. O to viac vo Windowse, ktorý v podnikoch stále dominuje.

Druhý dôležitý detail prichádza z dokumentácie OpenAI Developers pre Codex. Tá už otvorene ráta s tým, že pri agentoch sa nebude riešiť len prompt a model, ale aj worktrees, MCP, shell, guardrails a sandbox. Inými slovami, OpenAI sa snaží posunúť Codex od asistenta na dopĺňanie kódu k nástroju, ktorý sa dá zarámovať ako pracovný uzol v širšom agentickom workflow. To mení aj kritériá hodnotenia. Už nejde len o to, či agent napíše patch, ale či ho dokáže napísať v prostredí, kde sú oprávnenia, súbory a sieť explicitne riadené.

Pre trh je zaujímavé aj to, že OpenAI neprezentuje sandbox ako doplnkovú enterprise funkciu, ale ako podmienku použiteľnosti. Tým nepriamo priznáva, že bez bezpečného lokálneho runtime ostáva veľká časť agentického kódovania skôr demonštráciou než produkčným nástrojom. Windows bol pritom doteraz slabším miestom celej rovnice. Ak sa firme podarí dorovnať používateľský komfort a zároveň zachovať pevné hranice zápisu a siete, môže to urýchliť adopciu Codexu v organizáciách, ktoré sa doteraz báli pustiť cloudového agenta na notebooky vývojárov.

Z pohľadu konkurencie ide o širší trend. Čoraz viac agentických nástrojov bude musieť vysvetliť nielen model, ale aj konkrétny bezpečnostný mechanizmus vykonávania na zariadení alebo v worktree. OpenAI tu nastavuje latku tým, že problém popisuje do úrovne operačného systému a priznáva kompromisy medzi izoláciou a kompatibilitou. Pre vývojárov je to užitočné, pretože sa konečne dá rozlišovať medzi „agent vie písať kód“ a „agent vie bezpečne fungovať v bežnom developerskom prostredí“. A práve tá druhá veta bude pri ďalšej vlne adopcie rozhodovať viac než samotné benchmarky.