Codex CLIの承認オプションに関する調査

1. 前提

承認ポリシー（approval policy）とサンドボックス（sandbox mode）

Codex CLI がローカルでコードを編集・実行するときの安全性を守るための二本柱

approval policy → 「その操作を実行する前に人間に聞くか」

sandbox mode → 「その操作を実行できる権限があるか」

優先関係としては sandbox が上位

sandbox で禁止されている操作は、approval を never にしても実行されない

2. Approval policy

いつ人間の確認を挟むかを決める設定。操作の前に承認を求めるかどうかを制御する。

untrusted：信頼できないコマンド（Codex CLIに規定のホワイトリスト外の動作）に対してのみ承認を求める

on-failure：通常は承認なしでコマンドを試すが、失敗した場合に承認を求める

on-request：モデル自身がどの操作に承認を求めるかを判断する

never：ユーザーに承認を求めない

3. Sandbox mode

エージェントが実行可能な操作を規定

read-only：ファイルの読み取りのみ。編集や実行は不可

workspace-write：作業ディレクトリ配下では読み書き・実行が可能。ネットワークは既定で無効（設定で有効化可能）

フルアクセスモード：サンドボックスを外してシステム全体にアクセス可能にする設定（非推奨）

4. 運用例

モード一覧

https://scrapbox.io/files/68d945ed50bc5ceff1a8bc10.png

情報源：

5. 運用方針策定の指針

1. まず sandbox で上限（どこまで触らせるか）を決める

2. 次に approval で確認の頻度（煩雑さと安全性のバランス）を調整する