Cách Vượt Qua Sandbox Codex

Codex — LLM mã hóa của OpenAI — được xây dựng với nhiều lớp sandboxing và phê duyệt theo mặc định, áp dụng các rào cản mạnh mẽ để thực thi an toàn. Nhưng đôi khi các nhà phát triển có thể muốn chạy Codex với ít hạn chế hơn cho các quy trình làm việc đáng tin cậy. Bài viết này giải thích **sandbox của Codex** là gì, tại sao nó tồn tại và cách bạn có thể sử dụng cờ --dangerously-bypass-approvals-and-sandbox để vô hiệu hóa nó.

Tuyên bố từ chối trách nhiệm: Việc bỏ qua sandbox của Codex có thể làm suy yếu các biện pháp bảo mật quan trọng nhằm bảo vệ hệ thống và cơ sở mã của bạn. Những điều sau đây hoàn toàn dành cho **mục đích giáo dục** — hãy tự chịu rủi ro và chỉ thực hiện trong môi trường được kiểm soát.

Cài đặt Codex CLI hoặc chạy nó trong Docker trước khi bỏ qua Sandbox của Codex

Trước khi cố gắng bỏ qua sandbox của Codex, bạn nên cài đặt Codex CLI hoặc chạy nó trong một môi trường được kiểm soát như Docker:

Cài đặt Codex CLI:

# Install via NPM
npm install -g @openai/codex

# Install via Homebrew
brew install --cask codex

Sau đó, chỉ cần chạy codex trong terminal của bạn để bắt đầu với Codex CLI.

Xác thực Codex CLI:
Xuất khóa API của bạn:export OPENAI_API_KEY="<your-openai-key>". Trên Windows, sử dụng lệnh set thay vì export.

Hoặc chạy Codex trong Docker
Nếu bạn ưu tiên cách ly container (được khuyến nghị khi bỏ qua sandbox):

docker run --rm -it -v "$(pwd):/workspace" -w /workspace ghcr.io/openai/codex:latest \ codex --sandbox danger-full-access --ask-for-approval never

Điều này cấp cho Codex quyền truy cập đầy đủ bên trong container, đồng thời cô lập nó khỏi hệ thống máy chủ của bạn.

Sandbox của Codex là gì?

Sandbox của Codex là một cơ chế bảo mật giới hạn những gì Codex có thể làm trên máy của bạn. Theo hướng dẫn bảo mật của OpenAI Codex:

• Khi bạn chạy Codex cục bộ (CLI hoặc IDE), nó sử dụng **sandboxing cấp độ hệ điều hành** (ví dụ: Seatbelt trên macOS, seccomp / Landlock trên Linux). (xem thêm tại OpenAI Developers)
• Theo mặc định, quyền truy cập mạng bị **vô hiệu hóa**, và quyền ghi bị giới hạn trong không gian làm việc hiện tại của bạn.
• Đối với các lệnh nằm ngoài không gian làm việc của bạn, Codex sẽ yêu cầu sự chấp thuận của bạn.
• Như được minh họa tại Tài liệu Online Tool, chế độ phê duyệt mặc định thường là **Tự động**, nghĩa là Codex có thể ghi vào không gian làm việc của bạn nhưng cần được phê duyệt cho các thao tác rủi ro.

Các biện pháp sandboxing này nhằm bảo vệ người dùng khỏi các hành động không mong muốn: thực thi mã độc, rò rỉ dữ liệu hoặc thay đổi hệ thống có hại.

Tại sao Sandbox của Codex tồn tại

Dưới đây là những lý do chính tại sao Codex được sandboxing theo mặc định:

1. Bảo mật: Ngăn Codex ghi tùy tiện vào máy của bạn bên ngoài không gian làm việc.
2. An toàn mạng: Không cho phép truy cập mạng trừ khi được cho phép rõ ràng, giảm rủi ro rò rỉ dữ liệu hoặc các cuộc gọi API không an toàn.
3. Thực thi có kiểm soát: Như được hiển thị tại Fossies, Codex yêu cầu người dùng phê duyệt đối với các hành động có thể nguy hiểm (chạy lệnh, sửa đổi tệp hệ thống).
4. Cô lập: Đảm bảo Codex chạy trong một môi trường được kiểm soát, giảm thiểu thiệt hại tiềm tàng từ các lời nhắc (prompts) có lỗi hoặc độc hại.

Khi nào bạn có thể muốn bỏ qua Sandbox của Codex

Có những trường hợp hợp lý để vô hiệu hóa sandbox, đặc biệt trong các môi trường đáng tin cậy:

1. Bạn chạy Codex bên trong một **container docker** hoặc máy ảo được cô lập nơi rủi ro đã được quản lý.
2. Bạn cần Codex **chạy các lệnh shell**, cài đặt các phụ thuộc hoặc tự động hóa hoàn toàn các tác vụ mà không cần phê duyệt lặp đi lặp lại của người dùng.
3. Bạn đang sử dụng Codex trong một **đường dẫn CI/CD đáng tin cậy** và muốn cấp cho nó các quyền cao hơn.
4. Bạn hiểu rõ rủi ro và muốn thử nghiệm hoặc tạo nguyên mẫu các tính năng yêu cầu quyền truy cập đầy đủ vào hệ thống tệp hoặc mạng.

Cách bỏ qua Sandbox của Codex — Với Cấu hình & Lệnh

Dưới đây là cách cấu hình và chạy Codex mà không có hạn chế của sandbox, sử dụng cả **cờ CLI** và **config.toml**:

Bỏ qua qua Lệnh CLI

Chạy lệnh sau để bỏ qua hoàn toàn sandboxing và các lời nhắc phê duyệt:

codex --dangerously-bypass-approvals-and-sandbox

Điều này tương đương với chế độ truy cập đầy đủ: không có sandbox, không có xác nhận. Chỉ sử dụng trong môi trường được kiểm soát.

Bỏ qua qua ~/.codex/config.toml

Bạn có thể đặt cấu hình liên tục trong config.toml của mình để bỏ qua sandboxing:

# ~/.codex/config.toml

model = "gpt-5-codex"
approval_policy = "never"
sandbox_mode = "danger-full-access"

[sandbox_workspace_write]
network_access = true

# (Optional) define additional writable roots
writable_roots = ["/workspace", "/tmp"]

approval_policy = "never" vô hiệu hóa mọi lời nhắc phê duyệt.

sandbox_mode = "danger-full-access" loại bỏ sự cô lập của sandbox.

[sandbox_workspace_write].network_access = true cho phép Codex thực hiện các cuộc gọi mạng khi ở chế độ ghi vào không gian làm việc.

Với cấu hình này (giả sử bạn chấp nhận những rủi ro đó), Codex sẽ chạy mà không hỏi bạn xác nhận và với đầy đủ các quyền truy cập hệ thống tệp và mạng (xem thêm về điều này tại OpenAI Developers).

Kiểm tra hành vi của Sandbox

Bạn có thể kiểm tra cách Codex hoạt động dưới các cài đặt sandbox khác nhau bằng cách sử dụng các lệnh gỡ lỗi của nó:

# On macOS:codex
sandbox macos --full-auto ls / 

# On Linux:codex
sandbox linux --full-auto ls /

Các lệnh này chạy các lệnh shell tùy ý theo chính sách sandbox được áp dụng của Codex, giúp bạn quan sát những gì được và không được phép.

Rủi ro khi bỏ qua Sandbox của Codex

Khi bật chế độ bỏ qua, Codex có thể:

• Chạy bất kỳ lệnh shell nào, bao gồm các lệnh rủi ro hoặc phá hoại (xóa tệp, sửa đổi cấu hình hệ thống)
• Đọc và ghi bất cứ nơi nào trên đĩa
• Có khả năng thực hiện các cuộc gọi mạng, tùy thuộc vào cấu hình

Chỉ sử dụng chế độ bỏ qua khi:

• Bạn đang chạy Codex trong một máy ảo (VM) hoặc container Docker an toàn, được cô lập
• Bạn tin tưởng các lời nhắc (prompts) và cảm thấy thoải mái với quyền truy cập đầy đủ
• Bạn đang tự động hóa các quy trình làm việc đáng tin cậy (ví dụ: CI), không cho phép các lời nhắc LLM chưa được kiểm duyệt chạy tùy tiện

Các lỗ hổng đã biết & Lịch sử lỗi của Sandbox của Codex

Cần lưu ý rằng đã từng có một **lỗ hổng bỏ qua sandbox** do lỗi trong logic cấu hình đường dẫn của Codex (như đã nêu tại GitHub và Cơ sở dữ liệu tư vấn GitLab). Một số phiên bản của Codex CLI đã coi một thư mục làm việc do mô hình tạo ra là có thể ghi được, ngay cả khi nó đáng lẽ phải được cô lập.

• Điều này cho phép ghi ra ngoài ranh giới sandbox dự kiến.
• Vấn đề này đã được vá trong Codex CLI **v0.39.0**.
• Nếu bạn đang cân nhắc bỏ qua sandbox, hãy đảm bảo phiên bản của bạn được cập nhật để tránh bị khai thác thông qua các lỗ hổng bảo mật đã biết.

Các câu hỏi thường gặp

Q1. Có nên bỏ qua sandbox của Codex để sử dụng chung không?
Không — nó chỉ được khuyến nghị trong môi trường được kiểm soát, đáng tin cậy. Việc bỏ qua loại bỏ các biện pháp an toàn bảo mật.

Q2. Việc bỏ qua sandbox có vô hiệu hóa tất cả các lời nhắc an toàn không?
Có. Cờ --dangerously-bypass-approvals-and-sandbox vô hiệu hóa cả hạn chế của sandbox và lời nhắc phê duyệt.

Q3. Tôi có thể chạy chế độ bỏ qua một cách an toàn bên trong Docker không?
Nó an toàn hơn — Docker cung cấp khả năng cô lập. Nếu container của bạn được cấu hình tốt, việc bỏ qua sandbox có thể chấp nhận được cho các tác vụ đáng tin cậy.

Q4. Nếu tôi đang sử dụng phiên bản Codex CLI cũ hơn thì sao?
Các phiên bản cũ hơn (≤ 0.38.0) có thể có lỗi sandbox, bao gồm các lỗ hổng thoát đường dẫn. Cập nhật lên phiên bản mới nhất trước khi sử dụng chế độ bỏ qua.

Q5. Làm cách nào để quay lại chế độ sandbox?
Chỉ cần chạy Codex mà không có cờ nguy hiểm, hoặc đặt chế độ sandbox rõ ràng thông qua:

codex --sandbox workspace-write --ask-for-approval on-request

Kết luận

Cờ **--dangerously-bypass-approvals-and-sandbox** mang lại cho Codex sự tự do tối đa — nhưng sự tự do đó đi kèm với rủi ro nghiêm trọng. Sandbox của Codex tồn tại để bảo vệ hệ thống, dữ liệu và quy trình làm việc của bạn khỏi các hành vi không mong muốn hoặc độc hại. Chỉ bỏ qua nó nếu bạn hiểu đầy đủ các hàm ý, đang chạy trong một môi trường đáng tin cậy hoặc cần quyền truy cập không hạn chế để tự động hóa.

Nếu bạn đang làm việc trong môi trường chia sẻ, sản xuất hoặc nhạy cảm, hầu như luôn an toàn hơn khi gắn bó với sandbox và các lời nhắc phê duyệt. Nhưng đối với các thử nghiệm được kiểm soát, các đường dẫn CI hoặc các container đáng tin cậy, việc bỏ qua có thể mở khóa các trường hợp sử dụng mạnh mẽ — chỉ đừng thực hiện nó một cách dễ dàng.