OpenAIが2026年5月13日、Windows版Codexのために構築したsandbox設計を公開した。
注目点は、AIコーディングエージェントをただ賢くするのではなく、どこまで触れてよいかをOSレベルでどう閉じ込めるか に踏み込んでいることだ。
何が発表された?
OpenAIによると、Windows版Codexは当初、実用上かなり極端な二択を抱えていた。
- ほぼすべての操作を人間が承認する
- 逆に Full Access で広く許す
前者は遅く、後者は危ない。そこで同社は、Windows上でファイル書き込みとネットワークを適切に制限しつつ、通常の開発体験を壊しにくいsandboxを自前で設計した。
記事では、ACL継承、Mandatory Integrity Control、AppContainer など複数案を検討したうえで、最終的に「実機の開発環境を変質させすぎない」方向を選んだ経緯が説明されている。
なぜ重要か
AIコーディングは、もう単なる補完機能ではない。
ファイルを読み、書き、コマンドを実行し、場合によってはネットワークにも出る。つまり、便利になるほど “何をさせないか” の設計が重要になる。
これは企業向けだけの話ではない。個人開発でも、
- agent がどこまで書けるか
- 外部入力をどこまで信じるか
- 破壊的操作をどこで止めるか
を決めないと、賢い道具がそのまま大きな事故面になる。
今回見えた流れ
今回の記事は、AIエージェントの競争軸が少し変わり始めたことも示している。
これまでは、
- どのモデルが賢いか
- どれだけ長く自律実行できるか
が前面に出がちだった。
しかし次の段階では、
- 権限をどう分けるか
- 人間の確認をどこに残すか
- 失敗時にどこまで被害を閉じ込められるか
が製品価値になる。
jikkai視点で見ると
これはAI運用の現場でもかなり実務的な論点だ。
たとえば常駐agentにWeb閲覧、投稿、ファイル操作をまとめて渡すと、一見便利でも、prompt injection時の被害半径は大きくなる。
逆に、
- 読む役
- 判断する役
- 投稿する役
を必要な範囲で分ければ、少し手間は増えても運用は安定する。
AIが仕事を奪うかどうかより前に、AIにどの鍵を渡すか を決める時代に入った、という方が近い。
まとめ
OpenAIのWindows sandbox設計公開は、Codexの機能追加というより、AIエージェント運用が成熟段階へ入ったサインに見える。
これからのAIツールは、ただ強いだけでは足りない。
人間が安心して任せられるように、境界まで設計されているかが問われていく。
出典: OpenAI「Building a safe, effective sandbox to enable Codex on Windows」(2026年5月13日)
