نشرت OpenAI شرحاً هندسياً لكيفية بناء بيئة عزل مخصصة لوكيل Codex على ويندوز، بعد أن لم تكن أدوات العزل الجاهزة كافية لسير عمل وكلاء البرمجة.
نشرت OpenAI شرحاً تقنياً لتصميم بيئة عزل مخصصة لتشغيل Codex على نظام ويندوز. الفكرة الأساسية أن وكيل البرمجة يحتاج إلى تنفيذ أوامر محلية مثل تشغيل الاختبارات وقراءة الملفات وتعديل ملفات المشروع، لكن هذا العمل يجب أن يتم داخل حدود واضحة تمنع الكتابة خارج المساحات المسموح بها وتقيّد الوصول إلى الشبكة عند الحاجة.
توضح الشركة أن أدوات ويندوز الجاهزة لم تكن مناسبة بالكامل لهذا الاستخدام. فقد درست خيارات مثل AppContainer وWindows Sandbox ووسوم السلامة Mandatory Integrity Control، لكنها وجدت أن هذه الحلول إما ضيقة جداً لسير عمل المطورين، أو منفصلة عن بيئة المشروع الفعلية، أو تغيّر دلالات الصلاحيات على ملفات المستخدم بطريقة يصعب تبريرها.
بدأ الفريق بنموذج أولي غير مرتفع الصلاحيات يستخدم معرفات أمنية وقيود كتابة لتحديد أماكن التعديل المسموحة. هذا النموذج قدم تحكماً دقيقاً في الكتابة على الملفات، لكنه لم يكن كافياً لمنع الشبكة بقوة؛ لأن بعض البرامج يمكنها تجاهل إعدادات الوكيل أو فتح الاتصالات مباشرة.
لذلك انتقلت OpenAI إلى تصميم آخر يعتمد على إعداد مرتفع الصلاحيات مرة واحدة، مع مستخدمين محليين مخصصين لبيئة Codex وقواعد جدار ناري تمنع الوصول الخارجي للمستخدم غير المتصل. كما أضافت أداة تشغيل أوامر منفصلة لتشغيل العمليات تحت رمز مقيد، بحيث تبقى العمليات الفرعية داخل الحدود نفسها.
الخلاصة أن عزل وكلاء البرمجة يختلف عن عزل تطبيق عادي. الوكيل يحتاج إلى مساحة كافية لإنجاز عمل مطور حقيقي، وفي الوقت نفسه يحتاج إلى ضوابط قابلة للإنفاذ على الملفات والشبكة. لذلك يعرض الخبر اتجاهاً مهماً في أدوات البرمجة بالذكاء الاصطناعي: الأمان لم يعد طبقة جانبية، بل جزء من تصميم تجربة الوكيل نفسها.
تنبيه تحريري: هذا النص تحرير عربي موجز مبني على المصدر الأصلي، وليس نقلاً حرفياً منه.
المصدر الأصلي: OpenAI
https://openai.com/index/building-codex-windows-sandbox
💡 الأثر العملي
للمطورين وفرق التقنية، الدرس العملي هو اختبار وكلاء البرمجة داخل بيئات محددة الصلاحيات قبل إدخالها في مستودعات حساسة. السماح للوكيل بالعمل لا يعني منحه وصولاً مفتوحاً إلى الملفات أو الشبكة.
← اقرأ المصدر الأصلي