AICLI CHEATS ● CHAPTER 03 · OpenAI / Codex CLI 最終更新 2026.05.18
03
OpenAI
Codex CLI
OpenAI公式のCodex CLI。承認モード3種類、サンドボックスの強さ、config.tomlの主要キーを早見表でまとめた。
LAST CHECK05.182026

凡例 / LEGEND
🟢安全 読み取り専用
🟡注意 書込・課金・送信
🔴 危険 権限スキップ・破壊操作
公開 2026.05.17 更新 2026.05.18 公式 →

OpenAI の Codex CLI で「これ毎回ググるな」と思うやつだけ集めた。承認モードとサンドボックスが少しややこしいので、そこは表で並べてある。

初めてインストールする人 → Codex CLI 導入ガイド を先にどうぞ。


凡例

  • 🟢 安全 — 読み取り専用、ローカルでの参照のみ
  • 🟡 注意 — 書き込み、課金、ネットワーク送信が発生する
  • 🔴 危険 — 権限スキップ、破壊的、データ消失リスクあり

クイックリファレンス

起動オプション

コマンドリスク用途
codex🟢通常起動(対話セッション)
codex "..."🟡プロンプト一発実行・終了
codex --approval-mode suggest🟢提案のみ(デフォルト)
codex --approval-mode auto-edit🟡ファイル編集は自動、コマンド実行は承認制
codex --approval-mode full-auto / --full-auto🔴全部自動
codex --sandbox read-only🟢読み取り専用
codex --sandbox workspace-write🟡作業ディレクトリのみ書き込み可
codex --sandbox danger-full-access🔴サンドボックス無効
codex --model <name>🟢モデル上書き
codex --image <path> "..."🟡画像添付
codex --config-profile <name>🟢プロファイル切替

スラッシュコマンド(セッション中)

コマンド用途
/clear履歴をクリア
/modelモデルを切り替え
/helpコマンド一覧

起動オプション(詳細)

通常起動

codex

🟢 安全 / 対話セッションを開始。デフォルトは suggest モード(変更は提案のみ、適用は手動承認)。

プロンプト即実行

codex "リポジトリ構成を要約して"

🟡 注意 / 引数のプロンプトで一回応答して終了。

承認モードを指定

codex --approval-mode suggest
codex --approval-mode auto-edit
codex --approval-mode full-auto
  • suggest 🟢 提案だけ。適用は手動。
  • auto-edit 🟡 ファイル編集は自動、コマンド実行は承認制。
  • full-auto 🔴 全部自動。隔離環境以外で使うのは事故のもと。

--full-auto--approval-mode full-auto のショートカット。

サンドボックスの強さ

codex --sandbox read-only
codex --sandbox workspace-write
codex --sandbox danger-full-access
  • read-only 🟢 読み取りのみ。観察用。
  • workspace-write 🟡 作業ディレクトリのみ書き込み可(デフォルト相当)。
  • danger-full-access 🔴 サンドボックス無効。ホスト全体に書ける。VM/Docker 以外で使わない。

承認モードとサンドボックスは独立に指定できるので、「自動でファイル編集は許すが、サンドボックスは workspace-write に閉じる」みたいな組み合わせができる。

モデル切り替え

codex --model gpt-5.4-codex

🟢 安全 / セッションのモデルを上書き。安いモデルで下見してから本番に切り替えるみたいな使い方ができる。

画像を添付

codex --image ./design-mock.png "このUIをReactで実装して"

🟡 注意 / 画像をプロンプトに付ける。デザインカンプから実装させる用途で便利。

プロファイル切り替え

codex --config-profile work

🟢 安全 / config.toml 内で複数プロファイルを定義しておくと、用途別に切り替えられる。


承認モードとサンドボックスの対応表

設定提案表示ファイル編集コマンド実行ネットワーク
suggest + read-only表示承認制承認制制限
auto-edit + workspace-write自動自動承認制制限
full-auto + workspace-write自動自動自動制限
full-auto + danger-full-access 🔴自動自動自動無制限

最後の組み合わせは「すべて任せる」設定。実行前に何を壊しても惜しくない環境であることを確認。


設定ファイル

~/.codex/config.toml

TOML 形式。主なキー:

model = "gpt-5.4-codex"
approval_policy = "auto-edit"
sandbox_mode = "workspace-write"

[profiles.work]
model = "gpt-5.4-codex"
approval_policy = "suggest"

[profiles.experiment]
model = "gpt-5.4-codex"
approval_policy = "full-auto"
sandbox_mode = "danger-full-access"

🟡 注意 / experiment のような危険プロファイルを作るときは、誤って常用プロファイルにしないこと。プロジェクトごとのデフォルトプロファイルもうっかり強い権限にしないよう注意。


MCP(Model Context Protocol)

外部ツール・データソースを Codex に接続できる。config.toml[mcp_servers.NAME] セクションで定義。

[mcp_servers.filesystem]
command = "npx"
args = ["-y", "@modelcontextprotocol/server-filesystem", "/path/to/dir"]

🟡 注意 / MCP サーバは Codex から呼ばれた瞬間に対象ディレクトリや API キーにアクセスできるので、登録前にスコープを確認。


セキュリティで意識すること

  • --full-auto--sandbox danger-full-access を同時指定するのは「rm -rf を Enter 押す前にもう一度考える」レベルの慎重さで
  • danger-full-access はネットワークも開く。外部に何を送られても困らない環境か確認
  • config.tomlapproval_policy = "full-auto" を個人のグローバル設定に書かない(プロジェクト単位で必要なときだけにする)
  • API キーで運用しているなら /cost 相当の確認をマメに

つまづきがちな点

「承認モードとサンドボックスのどっちが効いているのか分からない」 → 両方独立に効く。たとえば auto-edit でも read-only サンドボックスなら書き込みは弾かれる。混乱したら起動時のプロンプト表示で現在のモードを確認。

「macOS でサンドボックスが効かない場合がある」 → Codex は macOS では Seatbelt、Linux では Landlock を使う。OS が古いと一部機能が利用できないことがある。danger-full-access 以外を選んでいるのに何でも書けてしまうなら、サンドボックス機能が無効化されていないか確認。

「課金が想定より高い」 → ChatGPT アカウント認証は固定料金ベース、API キー認証は使った分課金。混在させていると感覚がずれるので、運用は片方に寄せたほうがいい。


このページは執筆時点の挙動。Codex はアップデートが頻繁なので、致命的なフラグは 公式ドキュメント で突合してから使う。