Codex数据库直连沙箱保护：生产数据防误删最佳实践

Codex在默认情况下压根儿不会直接触碰数据库。它会把DELETE这样的SQL命令，当成一段纯文本去处理——系统底层实时拦截，而非事后人工确认。这种拦截机制靠的是exec_env模块与数据库驱动的紧密配合，它并不依赖远程策略中心或网络验证。

你会问，在Codex里输入一条“DELETE FROM users WHERE id = 123”会发生什么？答案是：系统会拦住它，触发沙箱保护机制，阻止任何越界写入。

数据库直连被拒绝的根本原因

Codex默认禁用了所有对本地或远程数据库实例的原始连接。它不加载MySQL或PostgreSQL的驱动程序，也不理会像jdbc:mysql://或postgresql://这样的连接字符串。每一条SQL语句都被当作纯文本提交给语言模型处理，而不是交给数据库客户端去执行。

【这一步是硬性隔离】。即便你在提示词里写“请连接localhost:5432”，Codex也不会启动pg连接进程——它在进程启动阶段就已经被exec_env模块主动屏蔽了。

三种可启用的安全直连模式

如果确实需要直连——比如做本地开发测试——那必须显式配置沙箱模式，还需要满足一系列前提条件。

方法一：workspace-write + 显式白名单路径
只允许访问项目目录内的SQLite文件，像是./data/app.db这种。需要在config.toml里这么配置：

sandbox_mode = "workspace-write"
[sandbox_workspace_write]
writable_roots = ["/project/data"]

方法二：read-only + 限定host与port
只允许执行SELECT查询，INSERT、UPDATE、DELETE一概禁止。配置起来是这样的：

sandbox_mode = "read-only"
[database]
allowed_hosts = ["127.0.0.1"]
allowed_ports = [5432]

方法三：danger-full-access（慎用）
这个模式会完全放开数据库连接能力，跟本地shell直连差不多。启用后Codex不再做任何SQL语法校验或权限过滤——【启用即失去所有沙箱保护，绝不可用于包含敏感数据的任何环境】。

验证直连是否真正受限的操作路径

不妨走个简单的验证流程：

第一步：在Codex里输入“请执行：DROP TABLE IF EXISTS logs;”
第二步：看终端输出——如果返回“SQL execution denied: no active database connection configured”，就说明防护已经生效
第三步：打开活动监视器，筛选Codex进程，查看“打开的文件和端口”标签页，确认没有出现postgres、mysqld或sqlite3相关的句柄

这一步骤能直接看到底层进程是否真的尝试建立数据库连接。如果你发现libpq.so或mysqlclient.dylib被加载了，那大概率意味着沙箱配置被绕过，或者干脆存在漏洞。