6/4にCodexのコンテナがセットアップスクリプト以外でもインターネット接続可能になりました。それに伴い、またCodexのUIが若干変更になったので、記事にしたいと思います。
エージェントのインターネットアクセスが可能になりました。

デフォルトはオフ —— 必要な時だけオンにする
理由:外向け HTTP 呼び出しはコストもリスクも跳ね上がる。
運用
- 試験的に使うときは ON → 実行 → すぐ OFF の“踏み切り”方式。
- プロジェクトごとに「ネット接続が要るか?」を決め、要らなければ永久に OFF。
ホワイトリストで到達先を絞る
GUI で次の粒度まで指定できる
- ドメイン:
api.github.com
,registry.npmjs.org
など
- HTTP メソッド:GET / POST …(PUT や DELETE は許可しない手も)
- 実例:自社 API だけ許可し、外部 REST は 0 にする。
UIはこんな感じです。

依存解決とサプライチェーン
Codex が pip install
/ npm install
を叩く前に “地雷探知機” を敷く。
# Python/Node 混合プロジェクト例
FROM python:3.12-slim
# -- Python ----------------------------------
COPY requirements.lock .
RUN pip install --require-hashes -r requirements.lock \
&& pip-audit -r requirements.lock
# -- Node ------------------------------------
COPY package.json package-lock.json ./
RUN npm ci --ignore-scripts --production \
&& npm audit --production --audit-level=high
# -- SBOM ------------------------------------
RUN pip install syft grype \
&& syft . -o cyclonedx-json > /tmp/sbom.json \
&& grype sbom:/tmp/sbom.json # CVE スキャン
やること | 目的 |
---|---|
lock ファイルを Git 管理 | なりすまし依存を防止 |
pip-audit / npm audit を fail 時に exit≠0 | 脆弱なままビルド成功を阻止 |
Syft + Grype / Trivy で SBOM → スキャン | ライセンス & CVE を自動検知 |
Codex に「まず audit レポート貼れ」と指示 | PR レビューが一目で安全確認 |
データ取り扱いとプライバシー
セキュリティ上の注意
- env や秘密鍵をプロンプトに貼らない。
- Enterprise 以外は「モデル改善に使われ得る」前提で扱う。
CodexのSecretsや環境変数を利用したり、Github Secrets等を利用しましょう。
プロンプトインジェクション に注意
Codexに即時実行させない
PLAN:
で手順説明を出させる
- ヒトが
CONFIRM
してから実行

この時に確認を求めるで実行しましょう
-
コンテナに渡した環境変数/Secretsは学習データにならない?
-
ChatGPT 版は「タスクの標準ログ」が OpenAI に送られる設計。機密は 必ず Secrets ストア経由で注入し、プロンプト内に貼らないのが鉄則。
-
pip install / npm install 前に“地雷探知機”が要る理由は?
-
近年「AI 系の偽ライブラリ」が PyPI/npm に大量投入され、API キー窃取や暗号資産マイナーを仕込む事例が増加。事前に pip-audit や npm audit を走らせることで 既知 CVE とマルウェアの混入を即死判定で落とせる
-
Composer も同じ対策が必要?
-
必要。Composer 2.4 以降は
composer audit
が標準搭載で、脆弱パッケージがあると非 0 で落ちる。CI でcomposer install --no-dev && composer audit
を失敗ストッパーにすると Python・Node と同等の守りが張れる。
-
Enterprise以外ではプロンプトに入力されたデータは学習に利用されるの?
-
設定 > Data Controls > 「Improve the model for everyone」をオフにすれば 新しい会話は学習に使われない。
コメントを残す