コンテナに渡した環境変数／Secretsは学習データにならない？

ChatGPT 版は「タスクの標準ログ」が OpenAI に送られる設計。機密は必ず Secrets ストア経由で注入し、プロンプト内に貼らないのが鉄則。

pip install / npm install 前に“地雷探知機”が要る理由は？

近年「AI 系の偽ライブラリ」が PyPI／npm に大量投入され、API キー窃取や暗号資産マイナーを仕込む事例が増加。事前に pip-audit や npm audit を走らせることで既知 CVE とマルウェアの混入を即死判定で落とせる

Composer も同じ対策が必要？

必要。Composer 2.4 以降は composer audit が標準搭載で、脆弱パッケージがあると非 0 で落ちる。CI で composer install --no-dev && composer audit を失敗ストッパーにすると Python・Node と同等の守りが張れる。

Enterprise以外ではプロンプトに入力されたデータは学習に利用されるの？

設定 > Data Controls > 「Improve the model for everyone」をオフにすれば新しい会話は学習に使われない。

Codexにネット接続が来た！——安全に使い倒すためのチェックリスト

Q: コンテナに渡した環境変数／Secretsは学習データにならない？

ChatGPT 版は「タスクの標準ログ」が OpenAI に送られる設計。機密は 必ず Secrets ストア経由で注入し、プロンプト内に貼らないのが鉄則。

Q: Enterprise以外ではプロンプトに入力されたデータは学習に利用されるの？

設定 > Data Controls > 「Improve the model for everyone」をオフにすれば 新しい会話は学習に使われない。

2025年6月5日

mikaduki

6/4にCodexのコンテナがセットアップスクリプト以外でもインターネット接続可能になりました。それに伴い、またCodexのUIが若干変更になったので、記事にしたいと思います。

エージェントのインターネットアクセスが可能になりました。

デフォルトはオフ —— 必要な時だけオンにする

理由：外向け HTTP 呼び出しはコストもリスクも跳ね上がる。

運用

試験的に使うときは ON → 実行 → すぐ OFF の“踏み切り”方式。

プロジェクトごとに「ネット接続が要るか？」を決め、要らなければ永久に OFF。

ホワイトリストで到達先を絞る

GUI で次の粒度まで指定できる

ドメイン：api.github.com, registry.npmjs.org など

HTTP メソッド：GET / POST …（PUT や DELETE は許可しない手も）
実例：自社 API だけ許可し、外部 REST は 0 にする。

UIはこんな感じです。

依存解決とサプライチェーン

Codex が pip install / npm install を叩く前に “地雷探知機” を敷く。

# Python/Node 混合プロジェクト例
FROM python:3.12-slim

# -- Python ----------------------------------
COPY requirements.lock .
RUN pip install --require-hashes -r requirements.lock \
 && pip-audit -r requirements.lock

# -- Node ------------------------------------
COPY package.json package-lock.json ./
RUN npm ci --ignore-scripts --production \
 && npm audit --production --audit-level=high

# -- SBOM ------------------------------------
RUN pip install syft grype \
 && syft . -o cyclonedx-json > /tmp/sbom.json \
 && grype sbom:/tmp/sbom.json   # CVE スキャン

やること	目的
lock ファイルを Git 管理	なりすまし依存を防止
`pip-audit` / `npm audit` を fail 時に exit≠0	脆弱なままビルド成功を阻止
Syft + Grype / Trivy で SBOM → スキャン	ライセンス & CVE を自動検知
Codex に「まず audit レポート貼れ」と指示	PR レビューが一目で安全確認

データ取り扱いとプライバシー

セキュリティ上の注意

env や秘密鍵をプロンプトに貼らない。

Enterprise 以外は「モデル改善に使われ得る」前提で扱う。

CodexのSecretsや環境変数を利用したり、Github Secrets等を利用しましょう。

プロンプトインジェクションに注意

Codexに即時実行させない

PLAN: で手順説明を出させる

ヒトが CONFIRM してから実行

この時に確認を求めるで実行しましょう

コンテナに渡した環境変数／Secretsは学習データにならない？: ChatGPT 版は「タスクの標準ログ」が OpenAI に送られる設計。機密は必ず Secrets ストア経由で注入し、プロンプト内に貼らないのが鉄則。

pip install / npm install 前に“地雷探知機”が要る理由は？: 近年「AI 系の偽ライブラリ」が PyPI／npm に大量投入され、API キー窃取や暗号資産マイナーを仕込む事例が増加。事前に pip-audit や npm audit を走らせることで既知 CVE とマルウェアの混入を即死判定で落とせる

Composer も同じ対策が必要？: 必要。Composer 2.4 以降は composer audit が標準搭載で、脆弱パッケージがあると非 0 で落ちる。CI で composer install --no-dev && composer audit を失敗ストッパーにすると Python・Node と同等の守りが張れる。

Enterprise以外ではプロンプトに入力されたデータは学習に利用されるの？: 設定 > Data Controls > 「Improve the model for everyone」をオフにすれば 新しい会話は学習に使われない。

mikaduki

名古屋在住のフリーランスエンジニア。PHP／Laravel 歴15年、Docker・TypeScript で API とインフラを行き来する日々。
趣味は株式投資と卓球。「設計書を捨て、コードと文化で語る」を合言葉に、DDD・Clean Architecture・CI を徹底検証。ブログでは実装ベンチと哲学ネタを混ぜつつ、読者の“メシのタネ”になる技術と問いを届けています。