핵심 정리
approval_policy = "on-request"
approvals_reviewer = "auto_review"흐름
1. Codex가 승인 필요한 작업을 요청한다.
2. Auto-review가 위험도를 먼저 검토한다.
3. 낮은 위험은 정책에 따라 진행되거나 거절된다.
4. 높은 위험이나 모호한 작업은 사용자 판단이 필요하다.승인 흐름
Auto-review는 sandbox를 대체하지 않는다
Auto-review는 승인 요청을 검토하는 중간 단계입니다. sandbox 자체를 넓히거나 좁히는 기능이 아닙니다. 파일 쓰기 범위, 네트워크 접근, 외부 명령 실행 가능 여부는 여전히 sandbox_mode와 관련 설정이 결정합니다. Auto-review는 이미 승인 대상이 된 행동을 검토해 진행 가능 여부를 판단하는 층으로 읽어야 합니다.
sandbox_mode
-> 무엇이 기술적으로 가능한가
approval_policy
-> 무엇을 묻는가
approvals_reviewer
-> 그 요청을 누가 먼저 검토하는가이 세 축을 분리해서 봐야 "자동 리뷰를 켰으니 안전하다"는 착각을 피할 수 있습니다.
approvals_reviewer = "auto_review"는 interactive approval 위에서 동작한다
Auto-review는 approval_policy = "on-request" 같은 interactive 승인 흐름과 함께 씁니다. 모든 작업을 자동으로 허용하는 설정이 아니라, 승인 요청이 발생했을 때 해당 요청을 reviewer agent가 먼저 평가하도록 라우팅하는 설정입니다.
approval_policy = "on-request"
approvals_reviewer = "auto_review"자동 검토 대상은 sandbox escalation, network access, side-effecting MCP/tool call처럼 원래 승인 흐름에 걸리는 작업입니다. sandbox 안에서 허용된 안전한 읽기 작업까지 매번 Auto-review가 개입하는 구조는 아닙니다.
위험 신호는 사용자가 직접 판단해야 한다
Auto-review는 데이터 유출, credential 탐색, 영구적인 보안 약화, 파괴적 작업 같은 위험을 평가합니다. 하지만 조직 정책, 업무상 허용 범위, 사용자가 의도한 예외까지 완벽히 알 수는 없습니다. 특히 배포 credential, 외부 시스템 쓰기, 대규모 파일 삭제, 권한 완화처럼 되돌리기 어렵거나 조직 정책과 연결되는 작업은 사용자가 직접 판단하는 단계가 필요합니다.
사용자 판단이 필요한 예
- 운영 secret 접근
- 외부 SaaS 데이터 수정
- 재귀 삭제
- 보안 설정 완화
- CI/CD 권한 변경선택 기준
| 상황 | 적합한 선택 |
|---|---|
| 승인 요청을 직접 모두 보고 싶을 때 | approvals_reviewer = "user" |
| 승인 요청을 먼저 자동 분류하고 싶을 때 | approvals_reviewer = "auto_review" |
| 읽기 중심 작업 | sandbox_mode = "read-only" |
| 저장소 안 수정과 테스트 | sandbox_mode = "workspace-write" |
| 무인 자동화 | sandbox와 approval 조합을 별도 검토 |
| 고위험 작업 | 사용자 직접 승인 유지 |
주의할 점
Auto-review는 승인 요청을 줄이거나 분류하는 안전 장치이지, full access를 안전하게 만드는 장치가 아닙니다. danger-full-access와 approval_policy = "never"처럼 원래 승인 요청이 사라지는 조합에서는 Auto-review가 개입할 지점도 줄어듭니다.
자동 검토는 추가 모델 호출을 사용할 수 있습니다. 긴 자동화나 많은 승인 요청이 예상되는 작업에서는 비용과 지연도 운영 조건에 포함해야 합니다.
참고 링크
2 sources