---
description: "Codex 沙盒、审批与安全边界指南，解释只读、写入、网络、危险命令和人工确认策略，适合高风险任务前检查。"
redirectFrom:
  - /guide/15-sandbox-approvals.html
---

# 沙盒、审批与安全边界

Codex 可以读取文件、修改代码、运行命令。能力越强，越需要清楚的边界。

![Codex 安全边界分层](/images/codex-safety-layers.svg)

::: tip 最后核对
官方资料最后核对日期：2026-05-27。安全相关说明请以 [Codex security](https://developers.openai.com/codex/security) 和 [openai/codex sandbox 文档](https://github.com/openai/codex/blob/main/docs/sandbox.md) 为准。
:::

## 你需要关心什么

先把风险拆成几个层面：

- 文件系统：能读写哪些目录。
- 网络：是否允许访问外网。
- 命令：是否允许安装依赖、启动服务、跑迁移。
- 凭据：是否可能接触密钥、token、cookie。
- 数据：是否会修改数据库、对象存储或生产资源。

## 低风险任务

通常可以较快推进：

- 修改文档。
- 补充测试。
- 修复本地可复现 bug。
- 更新非敏感配置。
- 运行项目已有的测试命令。

## 高风险任务

建议先确认计划：

- 删除文件或批量移动文件。
- 数据库迁移。
- 修改认证、权限、支付、账单逻辑。
- 访问生产服务。
- 上传、下载或处理敏感数据。
- 引入新依赖或大规模升级依赖。

## 给 Codex 的安全提示词

```text
请在动手前先说明你计划运行的命令和可能影响的文件。不要读取 `.env`、密钥、token 或任何私有凭据。不要执行删除数据、发布、部署或迁移命令，除非我明确确认。
```

## Codex 桌面 App 中的审批流程

在 Codex 桌面 App 里，当 Codex 要执行写入文件、运行命令、访问网络等敏感操作时，会暂停并弹出审批提示，列出它打算做的事。你可以：

- **放行**：确认操作合理，继续执行
- **拒绝**：取消该步骤，Codex 会尝试其他方案
- **修改提示词**：告诉它换一种方式做

这个机制在前面的实战案例中多次出现——比如 Playwright MCP 操作浏览器时，每一步填写输入框、打开网页都需要手动放行。

> 养成习惯：**不确定的操作先看清楚再放行**，尤其是涉及删除文件、写入配置或访问外部服务的步骤。

## 团队建议

- 在 `AGENTS.md` 写清楚禁止事项。
- 把高风险命令放进人工审批流程。
- 给测试、lint、类型检查提供明确命令。
- 避免把生产凭据放在普通开发环境里。
- 对 Codex 产出的 PR 仍然执行正常代码审查。