اگر دسترسی کامل به سیستمفایل یک توسعهدهنده را به یک عامل (Agent) هوش مصنوعی بدهید، در واقع یک کابوس امنیتی را دعوت کردهاید؛ اما اگر برای هر دستور ساده، نیاز به تأیید دستی کاربر باشد، تمام مزیتهای اتوماسیون عاملمحور (Agentic) از بین میرود.
این چالش دقیقاً همان نقطهای است که OpenAI برای Codex هدف قرار داده است. برخلاف macOS (با Seatbelt) یا لینوکس (با seccomp)، ویندوز فاقد ابزارهای بومی و منعطف برای ایزولاسیون فرآیندها در سطح پایین است. همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای زبانی اشاره کردیم، شکاف میان توانایی استدلالی مدل و محدودیتهای سختافزاری/نرمافزاری سیستمعامل، بزرگترین مانع در مسیر استقرار عاملهای مستقل است.
به نقل از پست مهندسی OpenAI که در ۱۵ مه ۲۰۲۶ منتشر شد، تیم توسعه ابتدا گزینههایی مانند AppContainer و Windows Sandbox را بررسی کردند، اما این ابزارها یا بیش از حد محدود بودند یا با ساختار چک-اوتهای محلی (Local Checkouts) سازگاری نداشتند. بنابراین، آنها یک لایهی ایزولاسیون سفارشی را پیادهسازی کردند که در هنگام نصب نیاز به دسترسیهای مدیر (Admin) دارد.

بر اساس مستندات این پروژه، سیستم نهایی بر سه رکن اصلی استوار است:
- codex-windows-sandbox-setup.exe: مسئول تنظیمات سطح بالا، ایجاد کاربران اختصاصی و پیکربندی قوانین دیوار آتش است.

- codex-command-runner.exe: یک باینری اختصاصی که توکنهای محدودشده را برای ایجاد فرآیندهای فرزند (Child Processes) صادر میکند.

- کاربران محلی مجزا: ایجاد دو کاربر
CodexSandboxOffline(که کاملاً توسط دیوار آتش مسدود شده) وCodexSandboxOnlineبرای مدیریت دسترسیهای شبکه.

برای مدیریت نوشتن در فایلها، این سیستم از SIDs مصنوعی و توکنهای محدودشده برای نوشتن استفاده میکند. این سازوکار تضمین میکند که عامل تنها بتواند دایرکتوریهای خاصی از فضای کاری را تغییر دهد و در سایر بخشهای سیستم، دسترسی «فقط خواندنی» داشته باشد.

این رویکرد چندلایه در نهایت منجر به معماریای میشود که درخت فرآیند (Process Tree) عامل را بهطور کامل از سایر بخشهای سیستمعامل جدا میکند.

این پیادهسازی نشاندهنده یک گلوگاه حیاتی در عصر عاملهاست: «شکاف سیستمعامل». در حالی که مدلهای زبانی بزرگ (LLM) میتوانند وظایف پیچیده را استدلال کنند، سیستمعاملهای فعلی هنوز «عامل-بومی» (Agent-native) نیستند. OpenAI با ترکیب ابزارهای قدیمی ویندوز در یک لایهی امنیتی جدید، در واقع زیرساختی را میسازد که مایکروسافت باید آن را به عنوان یک API درجهیک ارائه میداد.
گام بعدی شما
- بررسی مستندات مربوط به Synthetic SIDs برای پیادهسازی ایزولاسیون در پروژههای عاملمحور محلی.
- رصد بهروزرسانیهای ویندوز برای معرفی مجوزهای بومی «محدوده-عامل» (Agent-scoped permissions).
- ارزیابی توازن میان سطح دسترسی (Privilege) و ریسک امنیتی در ابزارهای کدنویسی خودکار.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell و بهینهسازی استنتاج در لبه مراجعه کنید.




گفتگو