1
两层控制机制
读写边界
sandbox_mode
定义文件读取、写入位置、命令执行、网络访问等能力边界。
确认边界
approval_policy
定义遇到敏感命令、越权操作或外部访问时是否需要用户确认。
两者不是同一个开关:sandbox_mode 管能力范围,approval_policy 管确认时机。
Sandboxing
如何控制 Codex 能做什么、什么时候必须先问你。
Sandboxing 和审批策略共同决定 Codex 的操作边界。一个决定“能不能读写和执行”,一个决定“敏感动作是否需要先确认”。专业团队不应该长期使用最高权限,而应该按任务风险选择最小可用权限。
2
推荐默认组合
- 日常开发:workspace-write + on-request,既能修改工作区,又保留敏感操作确认。
- 代码审查:read-only,避免审查过程中误改文件。
- 高风险批处理:先要求计划和影响范围,再逐步放开权限。
- danger-full-access 只适合明确目标、可验证、可回滚的短时任务。
3
模式对比矩阵
| 模式 | 文件读取 | 文件修改 | 命令执行 | 适用场景 |
|---|---|---|---|---|
| read-only | 允许 | 不允许 | 受限 | 代码审查、理解项目、文档阅读。 |
| workspace-write | 允许 | 工作区内 | 受边界限制 | 日常开发、测试、构建和文档更新。 |
| danger-full-access | 允许 | 任意位置 | 不受限制 | 仅在明确需要时使用,必须清楚风险边界。 |
4
使用前检查
01目标明确知道要改什么、为什么改。
02范围明确知道哪些目录可以写入。
03风险明确知道是否会联网、删改或执行脚本。
04验证明确知道如何检查结果。
05可回滚知道如何撤销不合适的改动。