QuotaCheap Playbook

Codex Sandbox và Approvals: dùng coding agent mà không mở quá quyền

Hướng dẫn Codex sandbox và approvals theo tài liệu OpenAI: workspace write, read only, full access, network access, cloud isolation, protected paths, MCP s…

Codex có thể đọc file, sửa code và chạy command. Muốn dùng trong repo thật, developer phải hiểu sandbox mode, approval policy, network access, cloud isolation và khi nào không nên bật Full Access.

Playbook tiếng Việt về Codex sandbox và approvals theo tài liệu OpenAI: workspace-write, read-only, full access, network isolation, protected paths, cloud two-phase runtime, GitHub review, MCP/tool side effects, và checklist vận hành coding agent an toàn.

Một coding agent chỉ thật sự hữu ích khi nó được phép làm việc.

Nhưng một coding agent chỉ thật sự dùng được trong production workflow khi nó không được phép làm quá nhiều.

Đó là lý do sandbox và approvals là phần phải đọc sớm trong Codex, không phải phụ lục bảo mật để xem sau.

Codex có thể đọc repo, sửa file, chạy command, dùng web search, kết nối MCP tools, delegate cloud tasks, review pull requests.

Tất cả những thứ đó đều mạnh.

Và chính vì mạnh, chúng cần permission model rõ.

Tài liệu OpenAI về Codex approvals & security mô tả hai lớp kiểm soát chính: sandbox mode và approval policy.

Nói đơn giản: sandbox quyết định agent có thể làm gì về mặt kỹ thuật; approval policy quyết định khi nào agent phải dừng lại hỏi bạn trước khi hành động.

Bài này không viết theo kiểu “AI nguy hiểm, đừng dùng”.

Ngược lại: nếu muốn dùng Codex nghiêm túc, bạn nên hiểu sandbox để cấp đúng quyền cho đúng task.

Không phải task nào cũng cần Full Access.

Không phải command nào cũng nên auto run.

Không phải network nào cũng nên mở.

Và không phải repo nào cũng đáng tin như nhau.

Vì sao sandbox quan trọng với coding agent?

Một chatbot không có filesystem access thì rủi ro chính là câu trả lời sai.

Một coding agent có tool access thì rủi ro mở rộng sang side effect: sửa nhầm file; chạy command tạo hoặc xóa artifact; đọc dữ liệu ngoài scope; gọi network không cần thiết; install package độc hại nếu repo/script bị nhiễm; lộ secrets qua command output hoặc network; chạy MCP tool có side effect; tạo diff quá rộng khó review; phá working tree chưa commit.

Codex được thiết kế có sandbox và approvals để giảm các rủi ro này.

Theo docs, mặc định agent chạy với network access turned off.

Với CLI/IDE, Codex dùng OS enforced sandbox, thường giới hạn write access trong current workspace, cộng với approval policy.

Với cloud, Codex chạy trong isolated OpenAI managed containers.

Điểm quan trọng: sandbox không thay review.

Sandbox làm giảm blast radius.

Review vẫn quyết định code có nên merge hay không.