Codex Prompt 加密不是“加个 HTTPS”

OpenAI Codex 子智能体上线端到端 Prompt 加密功能——这是首个在 Agent 链路中全程加密 Prompt 内容的生产级实现。密钥由开发者本地生成,全程离线管理;Prompt 以 AES-256-GCM 密文形态进入 Codex 子 Agent 执行沙箱,解密仅发生在隔离内存页内,执行完毕立即清零。
Codex Prompt 加密不是“加个 HTTPS”
过去所有 API 加密方案只保护传输层:Prompt 明文仍会短暂出现在 OpenAI 服务端内存、日志和缓存中;子 Agent 间调用(比如 Code Interpreter → SQL Executor → Dashboard Generator)默认以原始字符串透传。
这次升级强制所有子 Agent 节点启用同构密钥协商协议(X25519 + ECDH)。每个子任务启动前动态派生会话密钥;Prompt 在父 Agent 输出后立刻加密;中间节点收不到明文,无法解析语义,也无法构造伪造指令注入下游模块。
直击三类高危攻击面
- Prompt 注入彻底失效:攻击者即使劫持 Agent 间 HTTP 通道,或污染工具插件返回值,拿到的也只是密文 payload。无法篡改意图(例如把“导出用户订单”改成“删除数据库”)
- 业务逻辑不再裸奔:金融、医疗类 Agent 常含硬编码规则(如“若信用分 < 600 则拒绝授信”)。过去这些逻辑可能被旁路监听捕获,现在等效于黑盒策略封装
- 子 Agent 越权调用被物理阻断:未授权子 Agent(如低权限 DataFetcher)即使被恶意触发,因缺失解密密钥,收到密文后直接返回空响应,不会错误执行

开发者必须立刻做的三件事
- 重划 Prompt 设计边界:敏感指令(如数据库凭证、合规判断阈值)必须放进加密 Prompt 体内部,禁止通过非加密参数(query/body 字段)传递逻辑开关
- 隔离敏感执行路径:检查现有 Agent 编排图,将涉及 PII/PCI/PHI 处理的子链路全部标记为
encrypted: true;否则 Codex v4.2+ 将拒绝调度 - 审计密钥生命周期:密钥不得硬编码,不得交由任何云服务托管(包括 AWS KMS、HashiCorp Vault);推荐使用硬件安全模块(HSM)或 TEE 环境(如 Intel SGX enclave)生成并驻留
该功能已随 Codex Agent Runtime v4.2.0 向所有 Enterprise Tier 客户开放,免费版暂未启用。注意:加密 Prompt 不兼容旧版 tool calling schema;调用 code_interpreter 等工具时需改用 encrypted_tool_call 新接口,否则返回 403(密钥校验失败)。
龙虾生态同步适配进展
OpenClaw v0.8.3 已支持 Codex 加密 Prompt 自动透传,开发者可通过 claw run --encrypt-prompt 命令一键启用;龙虾官网 yitb.com 上线《Codex 加密 Agent 迁移 checklist》技术指南,包含密钥轮换脚本、沙箱解密性能压测数据、与 LangChain/LlamaIndex 的集成示例,覆盖单 Agent 到多跳 Agent 链的全场景加固路径。