给 Claude Code 和 Codex 加一个自动审核员

给 Claude Code 和 Codex 加一个自动审核员免费使用gpt-5.5最近我在日常使用 Claude Code 和 Codex 写代码时遇到一个很典型的小麻烦很多命令都需要人工确认。这件事本身是合理的。AI 编程工具能读文件、改代码、跑命令如果完全不审核风险很高。但实际使用时会发现很多请求其实很安全比如查看 Git 状态、读取项目文件、运行测试。这些操作每次都弹出来让人确认久了就很打断节奏。于是我做了一个小工具给 Claude Code 和 Codex 加一层自动审核 hook。不是取消审核而是分层审核我不想简单地把所有确认都关掉。更稳妥的方式是把权限请求分成三类第一类是明确安全的操作比如只读命令、项目内普通文件读取、常规测试命令。这类可以直接放行。第二类是明确危险的操作比如读取私钥、执行sudo、强制删除关键目录、把远程脚本直接 pipe 给 shell。这类直接拒绝不交给模型犹豫。第三类是灰区操作比如安装依赖、访问网络、执行不常见命令、跨目录写文件。这类才交给大模型判断。整体策略可以概括成一句话静态规则先兜底模型只处理灰区模型不确定时回到人工确认。这点很重要。大模型审核不是安全体系的唯一来源它只是减少重复确认的辅助层。大模型适合做什么在这个场景里大模型最适合做的是“上下文判断”。例如同样是安装依赖在一个前端项目里运行npm install和在系统目录里下载并执行未知脚本风险完全不同。静态规则能判断一些明显模式但很难理解项目背景、命令意图和上下文。所以我的实现是先用本地规则快速判断低风险和高风险只有命令落在中间区域才调用一个 OpenAI-compatible 的模型接口让它输出allow可以通过deny应该拒绝ask不确定交给人并且只有高置信度的allow才会自动通过。模型超时、接口失败、解析失败、置信度不足全部回到人工确认。Claude Code 和 Codex 的差异实现时还有一个小坑Claude Code 和 Codex 都支持 hook但它们的输出协议并不完全一样。一开始我把 Claude Code 的返回格式复用到 Codex结果 Codex 报错PreToolUse hook returned unsupported permissionDecision:allow原因是 Codex 的PreToolUse阶段并不接受permissionDecision: allow。对 Codex 来说低风险通过应该什么都不输出让流程继续只有需要阻断时才输出类似{decision:block,reason:blocked by policy}这类细节说明做多工具适配时不能只看“概念相似”还要认真对齐每个工具的真实协议。我最后保留的几个原则这个工具做完后我觉得最有价值的不是代码本身而是几个原则自动化要降低摩擦但不能绕过安全边界。明确危险的规则必须写死不能交给模型自由发挥。模型只负责灰区判断失败时默认保守。所有自动通过都要有日志方便事后回看。不要把 API key 写进配置文件或仓库优先使用环境变量或密钥文件。不同工具的 hook 协议要分别适配不要强行复用输出格式。使用体验现在我的日常体验是常见低风险操作基本不再打断真正危险或不确定的命令仍然会停下来让我确认。这比“全手动确认”顺畅很多也比“完全不确认”安全得多。AI 编程工具越来越像一个能长期协作的本地开发助手。要让它真正融入日常工作流除了模型能力本身围绕它建立一套合适的权限、日志和回退机制也很关键。这类自动审核 hook 不复杂但它能明显改善使用手感。更重要的是它提醒我AI 工具的安全设计不应该只有“信任”或“不信任”两个选项中间还可以有一层可解释、可回滚、可记录的自动化判断。