NVIDIA OpenShell に Codex を閉じ込めて動かしてみた

• URL: https://dev.classmethod.jp/articles/codex-openshell-mac-sandbox
• 日付: 2026-06-21
• Tier: Tier 2
• 要旨: NVIDIA OpenShellサンドボックス内のCodex CLIでChatGPT Subscriptionを使用、プロンプトインジェクション攻撃を agent layer・runtime layer二層で防御する設定・検証を実装例で詳述。

詳細

Colima + OpenShell + Codex構成。公式codexプロファイルが OAuth 4トークン（access・refresh・account_id・id_token）+ auth.openai.com allowlist をあらかじめ内蔵。device code認証で sandbox 内に ~/.codex/auth.json を生成（host から渡さない）。agent layer でGPT-5.4がプロンプトインジェクション「認証情報exfil」を検知し無害diagnostic に置換。強制bypass「–dangerously-bypass-approvals-and-sandbox」付けても runtime layer（OPA policy engine）が endpoint allowlist でdeny（OCSF構造化ログ記録）。policy live edit で –add-endpoint により一時的に許可ルール追加・削除可能。binary ×endpoint の組合せで挙動が細部で異なる点に注意。