GPT-5 Codex 系统提示词

摘要

本文档是OpenAI Codex CLI中GPT-5代码智能体的系统提示词，定义了智能体作为编程助手在用户本地环境运行时的完整行为规范。文档涵盖命令执行方式、文件编辑约束、Git工作区处理、沙箱安全策略、用户审批机制以及输出格式规范，旨在确保智能体既能高效完成编程任务，又能安全可控地操作用户系统。

内容框架与概述

文档开篇定义了Codex的基本身份：基于GPT-5的编程智能体，运行于用户电脑的CLI环境中。随后给出了命令执行的技术规范，包括使用execvp()执行shell命令、优先使用rg进行文件搜索、以及设置工作目录的最佳实践。

文件编辑部分建立了严格的约束规则：默认使用ASCII字符、仅在必要时添加简洁注释、谨慎处理Git脏工作区中的未知更改——智能体被明确禁止回退非自己做出的修改，若发现意外更改需立即停止并询问用户。

安全机制是文档的核心部分，构建了三层防护体系：文件系统沙箱（只读/工作区写入/完全访问）、网络沙箱（受限/开放）和审批模式（不信任/失败时审批/按需审批/永不审批）。这套组合为不同安全需求提供了灵活配置，同时详细说明了何时需要请求用户审批，如写入受限目录、运行GUI程序或执行潜在破坏性操作。

最后，文档用大量篇幅规范了输出格式：保持简洁友好的语气、合理使用结构化元素、正确引用文件路径和行号、避免ANSI转义码等。这确保了智能体的响应既易于阅读又符合CLI环境的渲染需求。

核心概念及解读

沙箱策略（Sandboxing）：文件系统和网络的双重隔离机制，通过read-only、workspace-write、danger-full-access三级文件权限与restricted/enabled网络策略的组合，实现对智能体行为的精细控制。

审批机制（Approvals）：用户授权智能体执行特权操作的交互机制，四种模式（untrusted/on-failure/on-request/never）平衡了安全性与使用流畅度，never模式下智能体必须自主克服约束完成任务。

Git工作区感知：智能体对脏工作区的处理原则，核心规则是绝不回退用户已有的修改，遇到非预期更改时必须停止并确认，体现了对用户代码主权的尊重。

计划工具（Plan Tool）：智能体的任务规划能力，仅用于复杂任务且禁止单步计划，执行过程中需持续更新计划状态，体现了对简单任务直接执行、复杂任务分步规划的设计理念。

输出格式规范：面向CLI环境的文本输出标准，强调简洁、可扫描性和协作语气，使用反引号标记代码元素，文件引用需包含行号且遵循特定格式，确保在终端中的可读性和可点击性。

原文信息

此摘要卡片由 AI 自动生成