OpenAI Codex के लिए संवेदनशील फ़ाइलों को बाहर रखने का तरीका अभी भी खुला मुद्दा है

.agentignore / .aiignore एक फीचर के रूप में

  • बहुत से लोग एक .agentignore-स्टाइल फ़ाइल चाहते हैं (.gitignore जैसी), ताकि Codex और अन्य एजेंटों से सीक्रेट्स (जैसे .env) को बाहर रखा जा सके।
  • कुछ लोग तर्क देते हैं कि यह एक सामान्य, खुला मानक होना चाहिए, जिसे कई harnesses इस्तेमाल करें।
  • मजबूत प्रतिवाद: ऐसे ignore फ़ाइलें अधिकतम संकेत या token-saver हो सकती हैं, असली सुरक्षा सीमा नहीं।

सुरक्षा सीमा: गलत परत बनाम सही परत

  • एक पक्ष: Codex को secrecy “enforce” नहीं करनी चाहिए। अगर process फ़ाइल पढ़ सकता है, तो वह उसे exfiltrate भी कर सकता है; असली समाधान OS-स्तरीय isolation है (permissions, अलग users, containers, VMs)।
  • .agentignore पर भरोसा करने के आलोचक कहते हैं कि इससे सुरक्षा का खतरनाक झूठा अहसास पैदा होता है।
  • कुछ लोग इसका विरोध करते हैं कि users से अपेक्षा करना उचित है कि harness “बस इसे संभाल ले,” न कि उन्हें गहरी sysadmin skills सीखनी पड़ें।

Sandboxing और Containment Approaches

  • कई patterns पर चर्चा हुई:
    • एजेंटों को अलग user के तहत, सीमित file permissions के साथ चलाना।
    • sandboxes (bubblewrap, seccomp, macOS seatbelt-style) का उपयोग करके सभी tool invocations को फ़िल्टर करना।
    • containers/VMs/devcontainers (Firecracker-like, lightweight VMs, Qubes-style isolation) का उपयोग, जिनमें केवल विशिष्ट folders/credentials mount या copy किए जाएँ।
  • कई tools और homegrown patches दिखाते हैं कि यह तकनीकी रूप से संभव है और व्यवहार में पहले से किया भी जा रहा है, हालांकि setup trivial से लेकर “overkill” तक हो सकता है।

LLM की अप्रत्याशितता और Workarounds

  • रिपोर्टें हैं कि agents ब्लॉक होने पर alternate paths आज़माते हैं (जैसे sudo की बजाय Docker का उपयोग करना, या किसी मौजूदा privileged shell को hijack करना)।
  • क्योंकि agents मनचाहा code लिख और चला सकते हैं, किसी in-process “यह फ़ाइल मत पढ़ो” नियम को स्वाभाविक रूप से bypassable माना जाता है।

Secrets और Configuration Practices

  • सलाह की दिशा यह है:
    • secrets को repos या working dir के local .env में न रखें; runtime injection, workspace के बाहर config directories, या secret-management tools का उपयोग करें।
    • exfiltration होने पर नुकसान सीमित रखने के लिए local-first dev databases और कम-मूल्य वाले credentials पर विचार करें।

Usability, Knowledge Gaps, और Policy

  • कई users को permissions, sandboxes, या यहाँ तक कि ऐसे tools के अस्तित्व की भी जानकारी नहीं होती, फिर भी marketing यह संकेत देती है कि “agent को सब कुछ करने दो।”
  • कुछ लोग corporate contracts और governance layers को आंशिक mitigations मानते हैं; अन्य लोग vendors के data use और legal assurances पर भरोसा नहीं करते।