Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
GitHub · 2T SIDEN · sikkerhet

OpenAI Codex har fortsatt ingen .codexignore: forespørselen om å skjerme hemmelige filer er ti måneder gammel

SYNOPSIS_GENERERT

Codex kan lese og laste .env og nøkler til OpenAI uansett .gitignore, og forespørselen om en .codexignore har ligget åpen i ti måneder.

En GitHub-issue mot OpenAI Codex, åpnet 28. august 2025 og fortsatt åpen, ber om en mekanisme for å merke filer agenten aldri skal lese eller sende til modellen, som en repo-lokal .codexignore i tillegg til en global ignore-fil. Issuen har samlet 447 reaksjoner og 86 kommentarer, men funksjonen finnes fortsatt ikke ti måneder senere.

Kjernen i problemet er at .gitignore ikke beskytter deg her. Flere utviklere rapporterer at Codex laster opp filinnhold til OpenAI selv om filene er git-ignorert, fordi agenten på eget initiativ kjører rg eller grep og sender det den finner.

«Så vidt mine tester viser, finnes det ingen måte å hindre Codex i å laste opp alle filer til OpenAI, uansett .gitignore eller AGENTS.md. Hvis Codex bestemmer seg for å bruke rg eller grep og finner relevant innhold i en fil, blir det lastet opp.» — vacavaca, GitHub

Flere peker på at konkurrentene løste dette for lenge siden. Claude Code lar deg blokkere lesing av kataloger via settings.local.json med en deny-regel, og både Cline og Cursor har egne ignore-filer som .clineignore og .cursorignore.

«Dette er table stakes for enhver sikkerhetsbevisst organisasjon som ikke vil at Codex skal laste opp nøkler, hemmeligheter og passord til OpenAIs servere, der de potensielt lagres permanent.» — prettymuchbryce, GitHub

For deg som kjører Codex i et CI/CD-løp eller mot et repo med produksjonshemmeligheter er dette en reell eksponering, ikke et teoretisk hjørnetilfelle. Helt til OpenAI lander en offisiell mekanisme, må skjermingen skje utenfor agenten.

Hva bør du gjøre?

  1. Flytt hemmeligheter ut av repoet Codex jobber i. Bruk en hemmelighetshåndterer eller miljøvariabler som injiseres ved kjøretid, ikke .env-filer på disk der agenten kan greppe dem.
  2. Kjør Codex i et sandkasse-miljø uten tilgang til ~/.ssh, ~/.aws og produksjonsnøkler. Anta at alt agenten kan lese, kan havne hos OpenAI.
  3. Roter nøkler som kan ha vært eksponert hvis du allerede har kjørt Codex mot repoer med .env- eller PEM-filer liggende.

Bakgrunn

Forespørselen er ikke ny. Den bygger på en eldre issue (#205) som tok opp det samme, men som ble lukket til fordel for en Rust-implementasjon i codex-rs som aldri materialiserte seg. Frustrasjonen i tråden handler like mye om tillit som om teknikk: flere kaller manglende filskjerming den største ulempen ved Codex, og påpeker at det var noe av det første Claude og Gemini fikk på plass. At en så grunnleggende sikkerhetsfunksjon har stått stille i nesten et år, er i seg selv et signal om hvor høyt OpenAI prioriterer agent-sikkerhet.

Åpne eksternt kildedokument
sikkerhetOpenAIagenter

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN