官方教程中文版规则、安全与配置
规则、安全与配置
理解 Codex 项目规则、配置、安全审批、沙箱边界和 Security 相关能力。
规则不是安全边界,配置也不是审查替代品。Codex 的可控运行依赖三件事同时成立:规则说清楚、配置设正确、审批和沙箱真正限制高风险动作。
这一章负责把 Codex 从“能干活”变成“在边界内干活”。核心主线是 AGENTS.md / Rules 负责项目约定,config.toml 负责本地行为开关,approval、sandbox、network 和安全模型负责风险控制。
三层防线
flowchart TB
L1["规则层<br/>AGENTS.md / Rules<br/>项目约定沉淀"]
L2["配置层<br/>config.toml<br/>工具行为开关"]
L3["边界层<br/>approval / sandbox / network<br/>技术限制 + 人工决策"]
L4["治理层<br/>安全模型 / 威胁模型 / 排障<br/>团队可审查"]
L1 --> L2 --> L3 --> L4 --> Done[Codex 受控运行]
style L1 fill:#dcfce7,stroke:#22c55e
style L2 fill:#dbeafe,stroke:#3b82f6
style L3 fill:#fef3c7,stroke:#f59e0b
style L4 fill:#fee2e2,stroke:#ef4444先读这四类
项目规则
用 AGENTS.md / Rules 让项目自己说明运行方式、禁区、验证和交付格式。
基础配置
从 config.toml 的基础选项开始,避免一上来复制完整配置清单。
审批与沙箱
理解 approval、sandbox、network 三者如何共同限制危险操作。
安全排障
遇到权限、网络、路径、命令被拒绝时,按安全边界逐层定位。
章节速查
规则层:让项目自己说话
配置层:config.toml 行为开关
边界层:sandbox、approval、network
配套从原理到实战
- AGENTS.md 怎么用:为什么 AGENTS.md 能改变 Codex 行为
- sandbox + approval:Codex 为什么需要审批和沙箱
返回 官方教程中文版总目录
接下来去哪
AGENTS.md 指南
先把项目规则写清楚,再让 Codex 长期稳定工作。
基础配置
从少量关键配置开始,避免复制不可解释的大配置。
审批安全
把危险命令、文件写入、联网和权限升级放到明确边界内。
沙箱边界
确认 Codex 能读写哪里、能不能联网、失败时该查哪一层。