раздел 04

Codex: approval modes и sandbox

В Codex разрешения собраны из двух связанных параметров. Их полезно различать:

Approval policy (режим одобрений) - как часто агент спрашивает разрешения;
Sandbox (песочница) - что агенту физически разрешено делать.

Первое - про вопросы, второе - про реальные границы. Песочница работает, даже если вы что-то по ошибке подтвердили.

Три уровня песочницы

read-only

Агент может только читать. Менять файлы нельзя. Самый безопасный уровень.

workspace-write

Агент правит файлы в рабочей папке. Сеть по умолчанию выключена.

danger-full-access

Песочницы нет: полный доступ к системе и сети. Только для безопасной среды.

Логика та же, что и везде: чем больше прав даёте, тем строже должна быть среда, где это запускается.

Пресет --full-auto

Флаг --full-auto - удобная заготовка для повседневной работы: это workspace-write с низким трением подтверждений. Агент свободно правит файлы в рабочей папке и реже останавливается, но при этом остаётся в песочнице - за пределы рабочей папки и в сеть по умолчанию не выходит.

Смена режима по ходу

Approval policy выбирается при старте сессии, но её не обязательно угадывать сразу. Команда /approvals прямо в сессии меняет режим одобрений на лету - можно ужесточить перед рискованным шагом или ослабить, когда видно, что всё идёт хорошо.

Облачный Codex

Облачная версия Codex выполняет задачи в изолированной песочнице на стороне сервиса. Это снимает часть рисков с вашей машины: даже агрессивные команды отрабатывают в чужом одноразовом окружении, а не у вас локально.