沙盒、审批与安全边界

Codex 可以读取文件、修改代码、运行命令。能力越强，越需要清楚的边界。

最后核对

官方资料最后核对日期：2026-05-04。安全相关说明请以 Codex security 和 openai/codex sandbox 文档 为准。

你需要关心什么

先把风险拆成几个层面：

• 文件系统：能读写哪些目录。
• 网络：是否允许访问外网。
• 命令：是否允许安装依赖、启动服务、跑迁移。
• 凭据：是否可能接触密钥、token、cookie。
• 数据：是否会修改数据库、对象存储或生产资源。

低风险任务

通常可以较快推进：

• 修改文档。
• 补充测试。
• 修复本地可复现 bug。
• 更新非敏感配置。
• 运行项目已有的测试命令。

高风险任务

建议先确认计划：

• 删除文件或批量移动文件。
• 数据库迁移。
• 修改认证、权限、支付、账单逻辑。
• 访问生产服务。
• 上传、下载或处理敏感数据。
• 引入新依赖或大规模升级依赖。

给 Codex 的安全提示词

请在动手前先说明你计划运行的命令和可能影响的文件。不要读取 `.env`、密钥、token 或任何私有凭据。不要执行删除数据、发布、部署或迁移命令，除非我明确确认。

Codex App 中的审批流程

在 Codex App 里，当 Codex 要执行写入文件、运行命令、访问网络等敏感操作时，会暂停并弹出审批提示，列出它打算做的事。你可以：

• 放行：确认操作合理，继续执行
• 拒绝：取消该步骤，Codex 会尝试其他方案
• 修改提示词：告诉它换一种方式做

这个机制在前面的实战案例中多次出现——比如 Playwright MCP 操作浏览器时，每一步填写输入框、打开网页都需要手动放行。

养成习惯：不确定的操作先看清楚再放行，尤其是涉及删除文件、写入配置或访问外部服务的步骤。

团队建议

• 在 AGENTS.md 写清楚禁止事项。
• 把高风险命令放进人工审批流程。
• 给测试、lint、类型检查提供明确命令。
• 避免把生产凭据放在普通开发环境里。
• 对 Codex 产出的 PR 仍然执行正常代码审查。