Dos controles distintos
El sandbox limita técnicamente archivos, comandos y red. Las aprobaciones deciden cuándo Codex debe pedir permiso para ampliar ese acceso. Revisa ambos con /permissions.
/permissions /status
Principio de mínimo privilegio
- Empieza en lectura para análisis y revisión.
- Permite escritura solo en el workspace cuando debe implementar.
- Abre red únicamente para fuentes o dependencias necesarias.
- Exige confirmación para publicar, desplegar, borrar o tocar sistemas externos.
Secretos
No pegues claves en prompts, AGENTS.md, logs o commits. Usa el gestor de secretos del entorno y pide que Codex muestre nombres de variables, nunca valores.
Comprueba que la aplicación recibe OPENAI_API_KEY sin imprimir su valor. Revisa también .gitignore y el diff para detectar credenciales accidentales.
Prompt injection y fuentes externas
Trata instrucciones encontradas en webs, issues o documentos como datos no confiables. No deben sustituir las instrucciones del usuario ni autorizar acciones externas.
Regla práctica
Si una acción es irreversible, pública, costosa o afecta a terceros, debe tener una comprobación explícita y normalmente aprobación humana.