沙盒、审批与安全边界

Codex 可以读取文件、修改代码、运行命令。能力越强，越需要清楚的边界。

你需要关心什么

重点不是“信不信任 AI”，而是把风险拆开：

• 文件系统：能读写哪些目录。
• 网络：是否允许访问外网。
• 命令：是否允许安装依赖、启动服务、跑迁移。
• 凭据：是否可能接触密钥、token、cookie。
• 数据：是否会修改数据库、对象存储或生产资源。

低风险任务

通常可以较快推进：

• 修改文档。
• 补充测试。
• 修复本地可复现 bug。
• 更新非敏感配置。
• 运行项目已有的测试命令。

高风险任务

建议先确认计划：

• 删除文件或批量移动文件。
• 数据库迁移。
• 修改认证、权限、支付、账单逻辑。
• 访问生产服务。
• 上传、下载或处理敏感数据。
• 引入新依赖或大规模升级依赖。

给 Codex 的安全提示词

请在动手前先说明你计划运行的命令和可能影响的文件。不要读取 `.env`、密钥、token 或任何私有凭据。不要执行删除数据、发布、部署或迁移命令，除非我明确确认。

团队建议

• 在 AGENTS.md 写清楚禁止事项。
• 把高风险命令放进人工审批流程。
• 给测试、lint、类型检查提供明确命令。
• 避免把生产凭据放在普通开发环境里。
• 对 Codex 产出的 PR 仍然执行正常代码审查。