Vibe Codex в корпорации: аудит, RBAC, лимиты, токены

Развернуть AI-ассистент на сто разработчиков — это не «купить сто подписок», а ответить на пять вопросов безопасности до завтрака.

Сценарий, в котором корпоративный заказчик уверенно заводит инструмент в инженерные процессы, выглядит одинаково: SSO, ролевая модель, аудит запросов, лимиты по проектам, отзыв токенов. Vibe Codex закрывает все пять пунктов на стороне Vibe Console — без отдельной enterprise-консольки, без «свяжитесь с менеджером».

Один администратор на сто инженеров

Vibe Console — это веб-консоль, где админ заводит проекты, выдаёт роли и смотрит расходы. Один человек настраивает всё за час; разработчик у себя на машине делает vibe-codex login и попадает уже в готовый контур.

$ vibe-codex login
[auth] open https://vibe-console.online/cli/123abc to confirm
[auth] welcome, anna.smirnova@acme.ru
[auth] project: acme/backend-platform
[auth] role:    developer
[auth] limit:   5 000 ₽ / day

SSO без приключений

Поддержка SAML и OpenID Connect. Подключаются Keycloak, Active Directory Federation Services, любой self-hosted провайдер. Атрибуты пользователя (department, project, role) маппятся на роли в Vibe Console — поэтому новый сотрудник из HR-системы сразу видит свои проекты, а уволенный теряет доступ при следующем токен-рефреше.

Ролевая модель

RBAC простой и насквозь проверяемый. Четыре базовые роли, плюс кастомные роли с гранулярными правами:

• Owner — управляет билингом, ролями, лимитами;
• Admin — заводит проекты и токены, не видит финансы;
• Developer — потребляет токены в рамках своего лимита;
• Auditor — read-only доступ к логам и метрикам, без права тратить.

POST /api/v1/projects/payments/roles
{
  "user":  "ivan.petrov@acme.ru",
  "role":  "developer",
  "limits": { "daily_rub": 3000 }
}

Аудит каждого запроса

Каждый вызов модели логируется с метаданными: время, пользователь, проект, модель, токены, hash промпта. Полный промпт по умолчанию не сохраняется — это не лазейка для утечек, а граница приватности. Если безопасник просит «дай-ка посмотреть, что писал разработчик», ответ: «не предусмотрено политикой, дайте обоснование, включим запись на N дней».

GET /api/v1/audit?project=payments&from=2026-05-01
{
  "events": [
    {
      "ts": "2026-05-09T14:21:03Z",
      "user": "anna.smirnova",
      "model": "claude-opus-4.7",
      "tokens_in": 1834,
      "tokens_out": 612,
      "cost_rub": 7.82,
      "tags": { "X-Vibe-Repo": "billing-core" }
    }
  ]
}

Лимиты, чтобы не словить квартальный счёт за вечер

Лимиты выставляются на трёх уровнях: компания, проект, пользователь. Дополнительно есть rate-limit на час и rate-limit на минуту, чтобы случайно зацикленный скрипт не выжег бюджет.

«Если у инструмента нет лимитов — это не инструмент, это статья расхода с открытым концом».

Тэгирование запросов через X-VIBE-*

В заголовки можно добавить любой X-Vibe-*: репозиторий, тикет, среду, релиз. Vibe Console агрегирует по этим тегам и показывает, на что ушёл бюджет — на рефакторинг billing-core, на onboarding-доку или на разбор инцидента.

vibe-codex --tag jira=PAY-1042 --tag env=staging \
  "сгенерируй интеграционный тест для refund-эндпоинта"

Отзыв доступа

Уволенный сотрудник теряет доступ моментально через offboarding-хук SSO. Запасной путь — кнопка «Revoke all tokens» в консоли. После этого все CLI-сессии получают 401 при первом же запросе.

Что админ настраивает за час

1. Создаёт компанию и подключает SSO (15 минут).
2. Заводит проекты по командам/продуктам (10 минут).
3. Выставляет лимиты на проекты и пер-юзер (10 минут).
4. Настраивает экспорт логов в S3 или SIEM (15 минут).
5. Рассылает команде ссылку на brew install (10 минут).

На следующий день инженеры приходят, делают vibe-codex login, и команда уже в проде. Без чек-листа в Confluence, без двухнедельной «миграции», без отдельного бюджета на VPN.