Agente IA
NoticiaCoding Agents7 min

OpenAI explica por fin el sandbox de Codex en Windows: menos aprobaciones y menos Full Access a ciegas

OpenAI detallo el 13 de mayo de 2026 como resolvio el sandbox de Codex en Windows. La lectura util para builders es operativa: bajar friccion sin regalar red ni escritura total al agente.

OpenAI
Articulo oficial de OpenAI sobre el sandbox de Codex en Windows con foco en seguridad y utilidad real

OpenAI publico el 13 de mayo de 2026 una nota tecnica que aclara algo que muchos equipos de Windows venian resolviendo mal: como dejar trabajar a un agente de coding sin obligarte a aprobar cada lectura y sin abrirle Full Access por comodidad.

Eso no es detalle de plataforma. Es una pieza de producto. Si un agente en Windows vive pidiendo aprobaciones triviales, el flujo se rompe. Si le das acceso total para evitar esa friccion, el problema ya no es UX: es seguridad, red y capacidad de escribir fuera del espacio esperado.

El problema real que OpenAI admite

OpenAI describe dos opciones pobres que tenia Codex en Windows antes de este cambio:

  • aprobar casi cada comando, incluso lecturas;
  • o dejar al agente correr sin restricciones suficientes.

Ese dilema pega duro en equipos pequenos porque Windows sigue siendo entorno real de trabajo para muchisimos developers, analistas tecnicos y builders internos. Un agente que solo funciona bien en macOS o Linux no es un agente listo para empresa; es una demo con sesgo de plataforma.

La parte importante de la nota es que OpenAI no vende magia. Explica por que las opciones obvias de Windows no cerraban bien para un flujo agentico real:

  • AppContainer era demasiado estrecho para shells, Git, Python y toolchains abiertas.
  • Windows Sandbox aislaba fuerte, pero se alejaba del checkout y del entorno real del usuario.
  • Mandatory Integrity Control cambiaba la semantica del filesystem host de una forma dificil de justificar.

Diagrama oficial del sandbox de escritura restringida para Codex en Windows

Lo util para builders: seguridad que no mate el throughput

La primera iteracion de OpenAI uso synthetic SIDs, write-restricted tokens y ACLs para limitar escritura al directorio de trabajo y a writable_roots explicitos, mientras negaba rutas sensibles como .git, .codex y .agents.

Eso importa porque baja la conversacion de "trust the model" a "trust the boundary". Cuando tu agente instala dependencias, corre tests, crea ramas o toca archivos, el punto no es que el modelo sea siempre obediente. El punto es que el sistema operativo siga imponiendo limites aunque el modelo se equivoque.

Luego OpenAI reconoce otra realidad que muchos equipos maquillan: cortar la red de verdad es mas dificil que bloquear escrituras. La version inicial usaba proxies muertos y binarios trampa para frenar trafico, pero la propia empresa lo llama insuficiente porque un proceso podia ignorar variables de entorno o abrir sockets directo.

Eso deja una leccion clara para cualquier builder:

  1. limitar filesystem y limitar red son problemas distintos;
  2. una restriccion "advisory" no equivale a aislamiento real;
  3. un agente de coding usable necesita menos prompts de aprobacion, pero no menos controles.

La parte que cambia la lectura tecnica

OpenAI termino rediseñando el enfoque alrededor de un sandbox elevado con usuario dedicado y reglas de firewall, precisamente porque la supresion de red era demasiado importante para quedarse en heuristicas.

Esa decision vale mas que un benchmark. Señala donde esta madurando el mercado de agentes de coding:

  • ya no basta con tener mejor modelo;
  • hace falta runtime serio;
  • y ese runtime debe comportarse distinto segun el sistema operativo.

Para builders de Latinoamerica esto tiene una lectura practica. Si tu equipo usa Windows para soporte tecnico, operaciones internas o desarrollo de software, ya no puedes evaluar agentes solo por "cuanto codigo escriben". Tambien debes evaluar:

  • que escriben,
  • donde lo escriben,
  • que sale por red,
  • y cuantas aprobaciones humanas exigen para cerrar una tarea normal.

Arquitectura oficial del sandbox elevado con reglas de firewall y usuario dedicado

Que deberias revisar hoy

Si operas agentes locales o semilocales en Windows, yo revisaria este checklist:

1. Tu allowlist de escritura

No asumas que "workspace" basta. Define si .git, secretos, caches o carpetas de tooling quedan realmente fuera del alcance de escritura del agente.

2. Tu politica de red

Muchos equipos creen que desactivar un par de variables de proxy ya resuelve exfiltracion. La nota de OpenAI deja claro que no.

3. El costo de aprobacion por tarea

Si un agente necesita aprobacion para cada lectura inocente, nadie lo va a usar bien. Si no pide aprobacion nunca, ya cruzaste al otro extremo.

4. Tu matriz por sistema operativo

No copies reglas de macOS o Linux y las des por buenas en Windows. El mecanismo de enforcement cambia y los tradeoffs tambien.

Mi lectura

Esta noticia no trata solo de Windows. Trata de una señal de mercado: los agentes de coding estan entrando en una etapa donde el aislamiento ya es parte del producto, no un detalle de implementacion.

Si estas diseñando flujos con herramientas locales, shell y cambios de archivos, conviene leer esto junto con nuestra nota sobre Chrome DevTools for agents, porque el patron se repite: mejores agentes no salen solo de mejores prompts, sino de mejores limites y mejor verificacion.

Y si todavia estas armando tu base, el curso gratis Instala Tu Propio Agente de IA te ayuda a separar rapido lo que es modelo, lo que es runtime y lo que es gobernanza.

La conclusion corta: OpenAI ya no esta afinando solo a Codex; esta afinando el entorno que evita que Codex te obligue a escoger entre friccion absurda y acceso total.