shao__meng@shao__meng精选70OpenAI Codex 团队为了解决 Windows 上缺乏类似 macOS Seatbelt 或 Linux seccomp 的进程级沙箱能力,经历了两轮方案迭代。最初尝试免提权沙箱,通过合成 SID 和 Write-Restricted Token 实现文件写入限制,但网络限制只能靠环境变量软封锁,无法对抗恶意代码。最终不得不接受提权方案,引入两个本地沙箱用户和防火墙规则,并设计四层架构(codex.exe、setup、runner、子进程)来安全执行受限命令。该方案已落地,为 Windows 上的 Codex 用户提供了与 macOS/Linux 一致的默认安全体验。AI产品CodexWindows 沙箱安全隔离AI 编程助手OpenAI推荐理由:Windows 开发者终于有了正经的本地 AI 编程沙箱——Codex 团队用四层架构解决了 OS 级隔离难题,做安全或工具链的值得点开学习设计思路。
shao__meng@shao__mengshao__meng@shao__mengshao__meng@shao__mengshao__meng@shao__meng