Agent 工具栈指南

Codex CLI 工具与安全配置

用确定性本地工具配合 Codex,只在沙箱和审批规则允许时加入远程 CLI。

编程 Agent本地写入

Codex 命令策略预览

从一个推荐 CLI 开始,以只读模式生成策略;保存前检查命令前缀、目标环境和审批边界。

Codex command policyverified · 2026-07-10
codex-policy.rules
# Codex execution policy for GitHub CLI
# Install as a .rules file under an active Codex rules/ directory.
# Generated mode: read-only
# Mode boundary: R0 exact commands may be used; R1, R2, and R3 commands are forbidden.
# Evidence: verified; checked 2026-07-10; tested version: 2.86.0.
# Prefix rules match trailing arguments. CLI Finder prompts unless a command is explicitly audited as suffix-safe.
# Rules are experimental. Review prefixes, then test with codex execpolicy check.

prefix_rule(
    pattern = ["gh","pr","list","--state","open","--json","number,title,reviewDecision,url"],
    decision = "prompt",
    justification = "R0: Read pull request status and review fields without changing repository state.",
    match = ["gh pr list --state open --json number,title,reviewDecision,url"],
)

prefix_rule(
    pattern = ["gh","pr","merge"],
    decision = "forbidden",
    justification = "R2: Merges code into the target branch and needs explicit approval.",
    match = ["gh pr merge 123 --squash"],
)

prefix_rule(
    pattern = ["gh","repo","delete"],
    decision = "forbidden",
    justification = "R3: Deletes remote repository data and is destructive.",
    match = ["gh repo delete owner/repo"],
)

证据边界

兼容性不等于实测:当前数据没有把独立 CLI 执行归因到具体 Agent。

生成内容是待审查的起点。远程写入、删除、生产操作和任何需要确认的命令仍必须停下获得明确批准。

目标、输入与输出

在 Agent 选择命令前,先明确要交付的结果和证据。

目标

让 Codex 完成检查、实现和验证,同时保持外部状态变更可见且可审查。

所需输入

  • AGENTS.md 规则
  • 沙箱和审批配置
  • 仓库工具链
  • 限定权限的远程凭证

预期输出

  • 基础与任务 CLI 清单
  • 安全命令策略
  • 审批边界
  • 验证清单

Codex CLI 工具与安全配置:安全执行步骤

每一步都要在已声明的边界内执行,验证输出后再继续。

步骤 1只读

确认执行边界

读取仓库规则,识别文件系统、网络和命令限制。
输入
Workspace 指令和运行配置
输出
允许的执行范围
步骤 2只读

配置确定性工具

搜索用 ripgrep,JSON 用 jq,测试和构建使用项目原生命令。
输入
仓库工具链
输出
可重复本地流程
$ 配置确定性工具
rg --files && jq --version
步骤 3本地写入

限制远程工具

提供凭证前,先为 GitHub、Cloudflare 和数据库 CLI 写明读写规则。
输入
任务和远程身份
输出
限定任务策略

审批点与回滚

在列出的决策点停下,并让恢复方法始终紧跟操作。

这些操作需要先确认

  • 任务未明确授权的远程写入
  • 扩大凭证、绕过沙箱或切换生产目标
  • 破坏性本地命令和不可逆迁移

恢复计划

  • 本地变更使用版本控制
  • 保留上一部署与迁移产物
  • 撤销任务凭证并记录执行过的外部动作

选 CLI、MCP 还是 API?

根据执行位置、身份、输出合同与权限边界选接口。

CLI

适合仓库内实现、检查、测试和透明远程命令。

MCP

远程服务操作需要 typed tools 和集中中介时使用。

API

自建自动化需要比通用 CLI 更窄的动作面时选择。

建议方案

仓库工作用 CLI;若能改善远程权限控制则用 MCP 或窄 API。

官方证据与参考

执行前使用这些官方或上游来源确认当前命令行为。

Codex CLI documentation

用于核对本页涉及的当前命令、认证、输出格式与操作边界。

GitHub CLI manual

用于核对本页涉及的当前命令、认证、输出格式与操作边界。

Cloudflare Wrangler documentation

用于核对本页涉及的当前命令、认证、输出格式与操作边界。

PostgreSQL psql documentation

用于核对本页涉及的当前命令、认证、输出格式与操作边界。

执行前的常见问题

Codex 默认应获得生产凭证吗?

不应。只为当前任务提供凭证,并优先只读或限定环境的权限。

什么输出最适合 Codex?

优先 JSON、CSV、SARIF、明确退出码、文件路径、ID 和 URL,而不是彩色自然语言。

相关工具与指南

浏览同类指南,选择与你当前任务最接近的下一页。

继续查看与当前任务相关的工具证据、工作流或决策指南。

继续查看与当前任务相关的工具证据、工作流或决策指南。

继续查看与当前任务相关的工具证据、工作流或决策指南。

检查安装、认证、结构化输出、命令风险与官方证据。

检查安装、认证、结构化输出、命令风险与官方证据。

检查安装、认证、结构化输出、命令风险与官方证据。