2026/5/1大约 6 分钟
CX-13 安全与企业指南:围绕 App 建立权限、审计和合规边界
本篇是 App 主线的安全与企业篇。
主要来源:OpenAI Codex Settings、Config、Rules、Hooks、MCP、Plugins、Automations 官方文档。
📚 本课学习目标
完成本课学习后,你将能够:
- 理解安全模型总览:掌握六类风险(敏感文件、危险命令、大量改文件、外部数据、工具调用、后台任务)及各自的控制手段
- 设置审批与沙盒基线:为不同场景(只读、日常、陌生仓库、CI、生产)配置合理的审批和沙盒策略
- 编写有效的Rules:用Rules拦住危险命令,不把代码风格和测试写在Rules里
- 评估Hooks风险:理解Hook会运行真实代码,企业环境必须做代码审查
- 管理MCP安全:检查只读、生产访问、联网、审计日志、授权范围
- 安全使用Plugins和Connectors:安装和授权分开看,定期审查权限范围
- 建立企业安全基线:编写插件/连接器/MCP/Automation的登记表,明确谁能改配置
- 处理Windows团队特殊注意点:统一安装路径、防火墙策略、终端配置、执行策略
🗺️ 学习路径导航(先看这里!)
💡 根据你的情况选择学习路径:不用全看!
路径A:个人开发者(⏱️ 20分钟)
适合人群:个人使用Codex,想建立基本安全习惯
只看这些章节:
✅ 第1-2部分:安全模型 + 审批与沙盒(10分钟)
✅ 第9部分:敏感文件规则(5分钟)
✅ 常见问题FAQ(5分钟)路径B:企业安全(⏱️ 2-3小时)
适合人群:需要给团队设统一安全边界
学习顺序:从头到尾所有章节,重点第8部分企业基线
1. 安全模型总览
Codex App 安全不是“完全不让它做事”,而是让每类动作有边界:
| 风险 | 控制手段 |
|---|---|
| 读敏感文件 | AGENTS.md、权限、沙盒、Rules |
| 运行危险命令 | 审批、Rules、Hooks |
| 大量改文件 | Worktree、Review、Git |
| 外部数据访问 | Connectors 最小授权 |
| 工具调用风险 | MCP 权限和审计 |
| 后台任务失控 | Automation 只读优先 |
2. 审批与沙盒
推荐基线:
| 场景 | 审批 | 沙盒 |
|---|---|---|
| 只读审计 | 不允许写入 | read-only |
| 日常开发 | 危险命令审批 | workspace-write |
| 陌生仓库 | 保守审批 | read-only 起步 |
| CI | 外部隔离 + 最小权限 | 看 runner 环境 |
| 生产数据 | 默认拒绝 | 明确人工授权 |
App 落地时按这个顺序做:
- App Settings 里使用保守审批。
- 陌生项目先只读分析。
- 写入前看文件范围。
- 写完用 App Review 看 diff。
- 大任务用分支或 worktree。
- 自动化、插件、MCP 先只读试跑。
3. Rules
Rules 适合硬性限制命令:
[[rules]]
match = "rm -rf *"
action = "deny"
message = "禁止危险递归删除。"团队应该用 Rules 拦住:
- 递归删除。
- 生产数据库写操作。
- 直接推送 main。
- 输出 secret 的命令。
- 未经确认的部署命令。
4. Hooks
Hooks 是事件脚本。适合:
- 审计日志。
- 命令前检查。
- 文件写入后自动格式化。
- 提交前策略检查。
风险:
- Hook 本身会运行代码。
- Hook 可以泄露上下文。
- Hook 写错会阻塞开发。
企业环境要对 Hook 做代码审查。
5. MCP 安全
MCP 工具可能访问外部系统。检查清单:
- 是否只读?
- 是否访问生产?
- 是否会联网?
- 是否有审计日志?
- 是否需要用户级授权?
- 是否能限定路径 / 数据库 / 表 / 仓库?
默认不要给生产写权限。
6. Plugins / Connectors 安全
安装和授权分开看:
| 步骤 | 要问的问题 |
|---|---|
| 安装 Plugin | 它带了什么能力? |
| 启用 Connector | 它能访问哪些账号数据? |
| 授权 scope | 是否过大? |
| 使用外部上下文 | 是否包含敏感信息? |
| 卸载 | 是否撤销外部授权? |
7. Automations 安全
Automation 默认建议只读:
每天检查测试失败并汇总,不要修改文件。允许写入时必须限制:
- 目录范围。
- 文件类型。
- 分支或 worktree。
- 是否提交。
- 是否通知人工。
8. 企业基线
建议最小基线:
AGENTS.md
.codex/config.toml
.rules
必要的 hooks
插件和 MCP 白名单
连接器授权说明
自动化任务登记表登记表至少包含:
| 类别 | 必填 |
|---|---|
| Plugin / Connector | 名称、来源、授权 scope、owner、撤销方式 |
| MCP | server 名、访问数据、读写权限、token 存放方式 |
| Automation | 运行频率、目录、权限、输出位置、停止条件 |
| Rules / Hooks | 规则目的、触发条件、维护人、回滚方式 |
| 高风险命令 | 是否允许、谁审批、日志位置 |
团队要明确:
- 谁能改配置。
- 谁能安装插件。
- 哪些 MCP 允许用。
- 哪些目录禁止写。
- 自动化任务谁负责。
9. 敏感文件
在 AGENTS.md 中写:
## Safety
- 不读取或修改 `.env*`。
- 不输出 token、cookie、API key。
- 不访问生产数据库,除非任务明确要求且用户确认。
- 不直接推送 main。不要只依赖 .gitignore。模型仍可能读到工作区里的文件,关键规则要写清楚。
10. Windows 团队额外注意
如果团队主要使用 Windows:
| 项 | 建议 |
|---|---|
| 安装 | 统一说明 Microsoft Store / winget -s msstore |
| 防火墙 | 首次启动只允许专用网络,企业策略由管理员配置 |
| 终端 | 说明默认 PowerShell,WSL2 项目要单独配置 |
| 路径 | 教程示例避免只写 macOS/Linux 路径 |
| 执行策略 | PowerShell 脚本运行策略由团队统一约定 |
安全教程不能只按 macOS/Linux 习惯写,否则 Windows 用户会卡在安装、权限和本地通信上。
常见问题
Q1:可以彻底跳过审批和沙盒吗?
只在外部已经隔离的一次性环境中考虑。日常 App 使用不建议。
Q2:企业应该先管什么?
先管插件、连接器、MCP、自动化和危险命令。它们的外部影响最大。
Q3:安全规则放 AGENTS.md 还是 Rules?
项目事实和说明放 AGENTS.md;硬性命令策略放 Rules;事件脚本放 Hooks。
📝 总结与检查清单
完成本课后,请确认以下所有项:
如果以上全部勾选,恭喜你掌握Codex安全与企业基线!
附录
A. 安全检查速查
| 风险 | 控制手段 |
|---|---|
| 读敏感文件 | AGENTS.md、权限、沙盒 |
| 运行危险命令 | 审批、Rules、Hooks |
| 大量改文件 | Worktree、Review、Git |
| 外部数据访问 | Connectors最小授权 |
| 工具调用风险 | MCP权限和审计 |
| 后台任务失控 | Automation只读优先 |
B. 企业最小基线
AGENTS.md # 项目规则
.codex/config.toml # 团队配置
.rules # 命令策略
插件/MCP/自动化登记表 # 资产管理C. 推荐学习资源
- Codex Security 官方文档:https://developers.openai.com/codex/security