2025年4月,OpenAI在GitHub上开源了Codex CLI,从此AI编程工具正式从”浏览器插件”时代迈入”终端Agent”时代。一年后的今天,Codex CLI已积累超过67,000个GitHub星标,完成了从TypeScript到Rust的全面重写,成为终端AI编程Agent的标杆之作。
更重要的是,Codex已经不再只是一个命令行工具——它是一个完整的AI编程基础设施,拥有OS级沙箱隔离、原生多Agent并行、MCP协议集成等企业级特性。
今天我们就来全面测评这款工具,从安装配置到横向对比,从安全机制到常见问题,帮你判断它是否值得成为你的下一个编程搭档。
一、Codex是什么?一句话说清楚
Codex CLI是OpenAI推出的开源终端AI编程Agent。它不是IDE插件,不是代码补全工具,而是一个能读懂你整个代码仓库、自主规划任务、跨文件编辑代码、执行命令并验证结果的AI助手。
它的核心特性:
- 本地执行:代码不会离开你的机器(除非你允许网络访问)
- 全仓库上下文:Agent读取整个项目目录结构,不只是当前打开的文件
- 沙箱隔离:Shell命令在OS级别被隔离(macOS Seatbelt / Linux Landlock)
- 可配置信任级别:三种审批策略,在自动化和控制之间自由调节
- Apache 2.0开源:完全免费,社区可审计、可贡献
二、安装与配置
第一步:安装Node.js 22+
# macOS(推荐Homebrew)
brew install node
# Ubuntu/Debian
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
# 验证
node -v # 应显示v22.x.xWindows用户建议通过WSL2使用,或直接使用网页版(chatgpt.com/codex)。
第二步:安装Codex CLI
# 方式一:npm安装(推荐)
npm install -g @openai/codex
# 方式二:Homebrew(macOS)
brew install --cask codex
# 方式三:免安装直接运行
npx @openai/codex "explain this project"第三步:登录
cd /path/to/your/project
codex首次启动会引导你用ChatGPT账号登录。Codex包含在ChatGPT Plus($20/月)、Pro、Business、Edu和Enterprise订阅中,无需额外付费。
第四步:配置项目(推荐)
在项目根目录创建AGENTS.md文件,定义项目规则和权限:
# AGENTS.md
## 权限
- 工作目录:允许读写
- 网络:外部请求前需确认
- Shell:自动批准测试运行器(pytest, jest, cargo test)
- Shell:包安装前需确认
## 项目上下文
这是一个Python FastAPI服务,主入口是 app/main.py。
运行测试:pytest tests/ -v
禁止修改 migrations/ 目录三、三种安全模式详解
这是Codex最重要的配置决策,决定了Agent何时自主行动、何时等待你的批准。
1. Suggest模式(默认,最安全)
codex # 默认即Suggest模式Codex提出每一个操作——文件编辑、Shell命令——都等待你明确批准后执行。相当于AI起草、你决定。
适用场景:学习使用工具、处理关键生产代码、需要完全掌控每一次变更。
2. Auto-Edit模式
codex --approval-policy on-failureCodex自动应用文件编辑,但在执行Shell命令前暂停。代码改动立即生效,但影响环境的操作(运行测试、安装包、调用外部服务)仍需确认。
适用场景:快速迭代代码,同时保持对副作用的安全控制。
3. Full-Auto模式
codex --full-autoCodex在工作目录内自主读取文件、编辑代码、运行命令,无需批准。但在编辑工作目录外的文件或访问网络时仍会询问。
适用场景:批量处理任务、夜间自动运行、CI/CD流水线。
重要提示:即使在Full-Auto模式下,沙箱仍在OS级别执行隔离。Agent无法悄悄读取你的SSH密钥或连接远程服务器。
四、沙箱架构:为什么Full-Auto也安全?
Codex的沙箱是它最技术性的特性之一,也是你敢于使用Full-Auto的底气。
macOS:Apple Seatbelt
每个命令通过/usr/bin/sandbox-exec执行,Seatbelt策略控制:
- 文件系统访问:允许读写哪些路径
- 网络访问:是否允许打开网络连接
- 进程生成:沙箱命令可以创建哪些子进程
调试命令:
codex debug seatbelt -- python3 my_script.pyLinux:Landlock + seccomp
使用Landlock(文件系统访问控制)和seccomp(系统调用过滤)的组合,外加bubblewrap提供额外的进程隔离。
codex debug landlock -- python3 my_script.py实际效果:即使Codex运行了恶意代码试图读取你的SSH密钥或连接远程服务器,沙箱也会在OS级别阻止它。
五、多Agent并行工作
Codex支持在同一仓库上同时运行多个Agent,使用隔离的git worktree:
# 终端1:重构认证模块
codex --worktree feature/auth "Refactor auth module to use JWT"
# 终端2:同时写测试
codex --worktree feature/tests "Write integration tests for payment service"每个子Agent在独立的worktree中工作,文件变更不会冲突。完成后你审查各自的diff,选择性合并。
这种模式特别适合:
- 一个Agent写功能,另一个同时写测试
- 同时探索多种实现方案
- 自动代码审查:一个写代码,另一个审查
六、MCP集成:连接外部世界
Codex支持MCP协议,可以访问本地文件系统之外的工具和数据源。在config.toml中配置:
[mcp_servers.github]
command = "npx"
args = ["-y", "@modelcontextprotocol/server-github"]
[mcp_servers.postgres]
command = "npx"
args = ["-y", "@modelcontextprotocol/server-postgres", "postgresql://localhost/mydb"]配置后,Codex可以查询数据库Schema、读取GitHub Issues,并将这些上下文融入代码变更中。
七、横向对比:Codex vs Claude Code vs Cursor
| 维度 | OpenAI Codex | Claude Code | Cursor |
|---|---|---|---|
| 开源协议 | Apache 2.0 | CLI开源 | 闭源 |
| 核心语言 | Rust(95.6%) | TypeScript | TypeScript |
| 配置标准 | AGENTS.md | CLAUDE.md | .cursor/rules |
| 沙箱 | Seatbelt + Landlock | Seatbelt | 无 |
| 多Agent | 原生worktree | 原生并行 | Composer |
| MCP支持 | ✅ | ✅ | ❌ |
| 默认模型 | GPT-5.3-Codex | Claude Sonnet/Opus | 多模型可选 |
| 入门价格 | $20/月 | $20/月 | $20/月 |
| Terminal-Bench | 77.3% | 65.4% | N/A |
| 网页版 | ✅ chatgpt.com/codex | ❌ | ❌ |
| Windows原生 | ⚠️ WSL2 | ⚠️ WSL2 | ✅ |
各工具核心优势对比
Codex最强:
- 终端原生任务速度(Terminal-Bench 77.3%领先)
- OS级沙箱安全(最完善的隔离机制)
- 指令遵循精准(不会”自作主张”改计划外代码)
- 入门门槛低(网页版零安装)
- 性价比高($20/月Plus即可用)
Claude Code最强:
- 深度语义理解(复杂重构、架构分析)
- 主动优化(会发现问题并提出改进建议)
- 双层记忆系统(用户级+项目级)
- 支持接入国内模型(DeepSeek、GLM等)
Cursor最强:
- IDE集成体验(Tab补全、Cmd+K行内编辑)
- Windows原生支持
- 新手友好度
八、常见问题与解决方法
Q1:Codex会发送我的代码到OpenAI服务器吗?
是的,提示词和代码上下文会发送到OpenAI的API生成响应,与使用ChatGPT网页版相同。沙箱控制的是本地命令执行,不影响API数据传输。如果关注数据隐私,可考虑企业数据协议,或使用社区fork open-codex接入Ollama等本地模型。
Q2:Plus用户的使用限制是什么?
Plus用户($20/月)在每个5小时窗口内可获得30-150次Agent交互,具体取决于模型和任务复杂度。Pro和更高套餐解锁更高使用上限。
Q3:如何切换模型?
在交互会话中输入/model,可切换到GPT-5.4、GPT-5.3-Codex等可用模型。
Q4:Codex和GitHub Copilot有什么区别?
Copilot是IDE自动补全层,在你打字时建议下一行代码。Codex是自主Agent,你给它一个任务,它推理、规划、编辑文件、运行命令来完成目标。Copilot加速单个按键;Codex替代整个任务执行流程。
Q5:如何防止Codex读取敏感文件?
Codex没有内置的.env或.gitignore过滤器。最佳实践是在AGENTS.md中添加上下文排除规则:
[context]
exclude = [".env", "*.key", "secrets/"]Q6:Windows上如何使用?
CLI版本建议通过WSL2使用。如果不想折腾终端,直接访问chatgpt.com/codex使用网页版,功能完全相同,浏览器即开即用。
Q7:沙箱导致命令执行失败怎么办?
使用调试命令排查:
# macOS
codex debug seatbelt -- python3 my_script.py
# Linux
codex debug landlock -- python3 my_script.py多数沙箱失败是配置问题,不是Bug。检查AGENTS.md中的权限设置是否正确。
Q8:Full-Auto模式真的安全吗?
在合理配置的前提下是安全的。Full-Auto设置sandbox_mode = "workspace-write"和approval_policy = "on-request",沙箱在OS级别强制执行边界。Agent无法悄悄外泄代码或安装系统级包。但建议先在Suggest模式下熟悉Agent的行为模式,再逐步放开权限。
Q9:国内网络如何使用?
Codex CLI需要访问OpenAI的API,国内直连可能受限。解决方案:
- 配置代理:设置
HTTPS_PROXY环境变量 - 使用网页版:通过浏览器代理访问chatgpt.com/codex
- 使用open-codex fork:支持Ollama等本地模型,完全离线运行
Q10:如何让Codex记住项目偏好?
在项目根目录维护AGENTS.md文件,定义:
- 项目技术栈和入口文件
- 测试运行命令
- 禁止修改的目录
- 代码风格偏好
- 常用框架和约定
Codex每次启动都会读取这个文件作为上下文。
九、适用人群与选购建议
选Codex,如果你:
- 需要精准执行,AI严格按照指令操作不越界
- 有大量并行任务需要处理
- 重视安全性,需要OS级沙箱隔离
- 预算有限,$20/月Plus即可使用
- 不想安装任何东西,网页版即开即用
- 是终端重度用户,追求原生体验
选Claude Code,如果你:
- 需要深度理解和重构大型代码库
- 希望AI主动发现问题,给出架构建议
- 有长期项目,需要持久记忆
- 想接入国内模型(DeepSeek/GLM)
选Cursor,如果你:
- 80%时间在IDE内工作
- 需要Windows原生支持
- 是新手,想要最低上手门槛
重度用户建议:Codex + Claude Code组合
两者并非零和竞争。你甚至可以在Claude Code中安装Codex MCP插件,遇到复杂Bug时自动调用Codex辅助解决。大多数认真对待AI编程的团队,最终都会两者都用。
十、总结
Codex CLI是2026年最成熟的终端AI编程Agent之一。它的Rust架构保证了性能,OS级沙箱保证了安全,原生多Agent支持保证了效率,Apache 2.0开源保证了透明。
如果你已经订阅了ChatGPT Plus,Codex等于免费附赠了一个强大的编程Agent——没有理由不试试。如果你还在犹豫选哪个AI编程工具,Codex的网页版零门槛体验,是最好的起点。
AI编程工具仍在快速迭代,但有一点已经明确:终端Agent正在取代IDE插件,成为AI辅助编程的主流形态。而Codex,正是这个趋势的引领者之一。
