Codex加密本地存储对话记录的关键技巧

Codex 本地存储的对话记录默认采用明文保存，这直接暴露了会话内容、提示词及模型输出——一旦落盘文件被读取，安全风险不言而喻。但 macOS 系统自带的 Keychain（钥匙串）机制能自动为这些数据加密，无需手动配置密码或开关，完全由底层安全模块接管。

要让 Codex 的本地对话实现真正的安全防护，必须先确认一个核心前提：Keychain 加密是否已成功激活。

确认 Codex 是否已启用 Keychain 加密

操作路径非常直接：进入 Codex 安装目录，依次打开 Resources/app/src/main/ 子目录，找到 KeychainAccessGate.swift 文件。如果该文件存在，且内部的 isDisabled 属性默认值为 false，说明加密通道已经就绪，随时可执行安全写入。

这一步必不可少——文件缺失或 isDisabled 返回 true，意味着后续所有本地对话记录（包括会话 ID、提示词、模型完整回复）都会以明文直接写进磁盘，毫无保护。

强制触发对话数据写入 Keychain 缓存

通道就绪不代表加密自动生效，必须主动触发一次数据写入。操作很简单：在任意对话窗口内输入一条特殊指令——“保存当前上下文到安全存储”。执行后，Codex 立即调用 KeychainCacheStore.save() 方法，将当前会话的元数据（会话 ID、时间戳、项目路径的哈希值）一次性加密写入系统钥匙串。

【必须执行此操作才能让历史对话受保护】——这是关键：仅靠正常关闭 Codex 无法触发加密落盘。未手动保存的对话，依然以明文暂存在 ~/.codex/sessions/ 临时目录，等同于未加密状态。

验证加密是否生效

如何确认加密已生效？两种可靠验证方式：

方法一：终端执行命令——security find-generic-password -s "codex-session-cache" -w——若返回内容为乱码而非结构化的 JSON 文本，说明 Keychain 已成功存储加密数据。

方法二：打开 macOS 钥匙串访问工具，搜索“codex-session”，双击对应条目，勾选“显示密码”。此时系统会要求输入登录密码方可查看内容，这正是加密起效的直接证据。

Windows 用户对应操作：在命令行执行 cmdkey /list，检查列表是否存在名称包含“codex_cache”的凭据条目。若存在，代表加密保护已生效。