раздел 04

Режимы и безопасность

Codex может читать файлы, править их и запускать команды в вашей системе. Сколько свободы у агента - определяете вы. Поведение настраивается по трём осям: насколько свободно он трогает файлы (sandbox), как часто спрашивает разрешения (approval) и есть ли доступ в сеть.

Три уровня sandbox

read-only
Только чтение. Codex изучает код, объясняет, планирует - но ничего не меняет и не запускает. Безопасно для разведки.
workspace-write
Может читать, править файлы и запускать команды в рабочей папке. За её пределы и в сеть - только с вашего разрешения.
danger-full-access
Полный доступ без песочницы. Любые файлы, любые команды, сеть. Только когда понимаете, что делаете.

Approval: как часто спрашивать

Отдельно настраивается, когда Codex останавливается и просит подтверждение. Готовый пресет --full-auto объединяет разумный баланс: песочница workspace-write плюс запрос одобрения по необходимости (on-request). Codex автоматически читает и правит файлы в рабочей папке, но спросит разрешения, если нужно выйти за её пределы или сходить в сеть.

терминал
# режим только чтения - агент ничего не меняет codex --sandbox read-only # баланс: правки в папке сам, остальное - с одобрения codex --full-auto # полный доступ без вопросов (осознанно и осторожно) codex --sandbox danger-full-access --ask-for-approval never

Внутри сессии режим можно переключать слэш-командой /approvals (или /model для смены модели) - не нужно перезапускать агента.

Сеть выключена по умолчанию

Важная деталь: в режиме workspace-write сетевой доступ по умолчанию выключен. Codex не сходит в интернет (не поставит пакет, не дёрнет API), пока вы явно это не разрешите. Это защищает от случайных или нежелательных обращений наружу.

Человек в цикле

Главный принцип безопасной работы с агентом - человек в цикле (human-in-the-loop). Агент предлагает, человек одобряет. Чем выше ставки правки, тем меньше автоматизма.

Когда держать поводок коротким
Прод-репозиторий, чужой код, миграции БД, удаление файлов, всё с реальными деньгами или данными клиентов. Одобряйте каждый шаг.
Когда можно отпустить
Свежий проект, ветка-черновик, изолированная папка, эксперимент. Тут уместен full-auto - не жалко, если что-то сломается.

Практические правила

  • Незнакомый или важный репозиторий начинайте в read-only - сначала пусть объяснит, потом разрешайте правки.
  • Перед опасными командами (удаление, миграции, деплой) включайте режим с обязательным одобрением.
  • Работайте в отдельной git-ветке: любой шаг агента легко откатить через git.
  • Полный доступ давайте только тому, что не страшно потерять - например, одноразовой песочнице.