Token Robin Hood
OpenAI1 de maio de 20265 min

OpenAI Advanced Account Security protege contas do Codex com passkeys, security keys e exclusão automática de training

A OpenAI anunciou em 30 de abril de 2026 que o Advanced Account Security agora cobre o mesmo login do ChatGPT usado no Codex. Isso importa porque uma conta de coding agent já não é só um assento de chat. Ela pode ficar acima de repositórios, conectores, sessões long-running e contexto sensível de produto. O novo pacote adiciona login resistente a phishing, recovery mais rígido, sessões mais curtas e exclusão automática de training para contas inscritas.

O que aconteceuA OpenAI lançou o Advanced Account Security como camada opcional de proteção para contas do ChatGPT e disse que a cobertura vale também para o Codex.
Por que builders ligamQuando a conta do agente segura acesso a repo, ferramentas conectadas e contexto profundo de projeto, account takeover vira risco de workflow, não nota de rodapé de TI.
Ação TRHMigre operadores mais pesados do Codex para passkeys ou hardware keys, revise recovery e trate segurança da conta do agente como higiene de runtime.

Contas de AI coding agora têm alavanca operacional real

O enquadramento da própria OpenAI é o mais útil: essas contas passam a ficar no centro de workflows conectados. Para usuários de Codex, isso pode significar acesso a código, diffs, contexto de tarefas e raciocínio interno sobre o que mexer em seguida. A superfície já vinha crescendo com os workflows do app Codex e com os workspace agents. Quando a conta vira ponto de controle, a qualidade da autenticação pesa mais.

O pacote novo mexe em quatro coisas ao mesmo tempo: senhas saem, entram passkeys ou chaves físicas, recovery por e-mail e SMS desaparece, sessões ficam mais curtas e auditáveis, e conversas dessas contas deixam de ser usadas para treinar modelos. Nada disso melhora um coding agent sozinho. Mas limpa a fronteira da conta.

No fundo, é uma história de builder ops

O sinal social rápido em torno do lançamento puxou para "modo de segurança para contas em risco". Está certo, mas é pouco para o ângulo de desenvolvimento. Se sua ferramenta de IA pode abrir repos, revisar PRs ou carregar meses de contexto de produto, então um login fraco entra no modelo de risco de engenharia. O takeaway não é só "ligue isso se você for alvo". É "decida quais contas operadoras já são privilegiadas o bastante para merecer auth resistente a phishing".

A OpenAI também deixa o tradeoff explícito: se você ativa, o suporte não recupera a conta. Esse atrito é saudável. Ele força o time a parar de tratar recovery como detalhe casual e a documentar quem guarda chaves de backup, quais dispositivos ficam inscritos e como workflows compartilhados evitam criar um único ponto de travamento.

O que leitores TRH devem fazer agora

Audite as contas por trás dos workflows agenticos de maior valor. Separe experimentação cotidiana de contas operadoras que tocam repo. Ative auth mais forte onde a conta pode acionar código real ou acessar contexto sensível. Depois olhe para a dispersão de sessões também. Segurança e disciplina de tokens andam juntas: quanto mais persistente e conectado o workflow fica, mais importante é saber quem entra nele, quanto tempo ele fica aberto e qual contexto continua acumulando por trás.

Fontes