Token Robin Hood
OpenAI1 mai 20265 min

OpenAI Advanced Account Security protège les comptes Codex avec passkeys, clés physiques et exclusion automatique de l'entraînement

OpenAI a annoncé le 30 avril 2026 qu'Advanced Account Security couvre désormais le même identifiant ChatGPT utilisé par Codex. C'est important parce qu'un compte de coding agent n'est plus seulement un siège de chat. Il peut se trouver au-dessus des dépôts, des connecteurs, des sessions long-running et d'un contexte produit sensible. Le nouveau paquet ajoute une connexion résistante au phishing, une récupération plus stricte, des sessions plus courtes et une exclusion automatique de l'entraînement pour les comptes activés.

Ce qui s'est passéOpenAI a lancé Advanced Account Security comme couche de protection optionnelle pour les comptes ChatGPT et a précisé que la protection s'applique aussi à Codex.
Pourquoi c'est importantQuand le compte de l'agent contient l'accès aux dépôts, aux outils connectés et à un contexte projet profond, le détournement de compte devient un risque de workflow.
Action TRHPassez les opérateurs Codex les plus sensibles aux passkeys ou aux clés matérielles, revoyez la récupération et traitez la sécurité du compte agent comme une hygiène de runtime.

Les comptes de coding IA portent désormais un vrai levier opérationnel

Le cadrage d'OpenAI est le bon: ces comptes se déplacent vers le centre des workflows connectés. Pour les utilisateurs de Codex, cela peut signifier l'accès au code, aux diffs, au contexte des tâches et au raisonnement interne sur la prochaine modification. La surface s'était déjà élargie avec les workflows de l'app Codex et les workspace agents. Quand le compte devient un point de contrôle, la qualité de l'authentification compte davantage.

Le nouveau paquet change quatre choses à la fois: les mots de passe disparaissent au profit des passkeys ou des clés physiques, la récupération par e-mail et SMS est supprimée, les sessions deviennent plus courtes et plus auditables, et les conversations de ces comptes ne servent plus à l'entraînement des modèles. Cela n'améliore pas un coding agent à lui seul. Mais cela rend la frontière du compte plus propre.

C'est surtout une histoire de builder ops

Le signal social rapide autour du lancement a surtout parlé de "mode sécurité pour comptes à risque". C'est vrai, mais trop étroit pour l'angle développeur. Si votre outil IA peut ouvrir des dépôts, revoir des PR ou garder des mois de contexte produit, alors un login faible entre dans votre modèle de risque d'ingénierie. Le takeaway n'est pas seulement "activez-le si vous êtes ciblé". C'est aussi "décidez quels comptes opérateurs sont désormais assez privilégiés pour mériter une auth résistante au phishing".

OpenAI rend aussi le coût explicite: si vous activez cette protection, le support ne pourra pas récupérer le compte. Cette friction est saine. Elle oblige les équipes à documenter qui garde les clés de secours, quels appareils restent inscrits et comment les workflows partagés évitent de créer un unique point de blocage.

Ce que les lecteurs TRH devraient faire maintenant

Auditez les comptes derrière vos workflows agentiques les plus précieux. Séparez l'expérimentation quotidienne des comptes opérateurs qui touchent les dépôts. Activez une auth plus forte là où un compte peut déclencher du vrai code ou voir un contexte sensible. Ensuite, regardez aussi la dispersion des sessions. Sécurité et discipline token vont ensemble: plus le workflow devient persistant et connecté, plus il faut savoir qui peut y entrer, combien de temps il reste ouvert et quel contexte continue de s'y accumuler.

Sources