Codex permission_denied 权限拒绝错误处理Codex 跑任务时遇到permission_denied一般不是模型本身的问题更多是本地文件、目录、命令执行权限或者沙箱策略卡住了。先别急着重装建议按“错误位置 → 当前用户 → 目录权限 → 执行权限 → 配置权限”的顺序排查基本能定位到原因。一、常见错误现象实际遇到的报错形式不一定完全一样常见有这几类### token云桥中转 0029.org ### permission_denied: /path/to/projectEACCES: permission denied, open /Users/dev/.codex/config.jsonbash: ./script.sh: Permission deniedfailed to write file: permission denied如果是 Codex 在修改项目文件时报错重点看项目目录权限如果是读取配置时报错重点看~/.codex或环境变量文件如果是执行脚本时报错通常是脚本没有执行位。二、先确认当前运行用户很多权限问题的根源是项目目录属于另一个用户。例如用sudo拉过代码或者在 Docker、WSL、远程服务器里切换过用户。whoami pwd ls -ld . ls -la重点看ls -ld .输出中的所有者和权限例如drwxr-xr-x 12 root wheel 384 Jun 28 10:21 my-project如果当前用户是dev但目录所有者是rootCodex 往里面写文件时就很容易报permission_denied。三、修复项目目录所有者如果确认项目目录所有者不对可以把项目权限改回当前用户。注意不要对系统目录乱用chown只处理自己的项目目录。cd /path/to/my-project sudo chown -R $(whoami) .如果是在 macOS项目目录在外接盘或某些同步盘里还要确认当前用户对该目录有写权限touch .codex-permission-test rm .codex-permission-test这条测试命令很直接能创建并删除文件说明基本写权限没问题如果这里都失败Codex 肯定也写不了。四、检查脚本执行权限有些任务里 Codex 会调用项目脚本比如./gradlew、./build.sh、./run.sh。如果脚本没有执行权限会看到类似bash: ./build.sh: Permission denied处理方式是给脚本增加执行位chmod x build.sh chmod x gradlew如果脚本是从 Windows 复制过来的还可能有换行符问题。此时常见报错不一定是permission_denied但也会导致执行失败可以顺手检查file build.sh如果显示包含CRLF可以转成 Unix 换行sed -i s/\r$// build.shLinux 下没有 macOS 的sed -i 写法可以用sed -i s/\r$// build.sh五、检查 Codex 配置目录权限如果报错指向~/.codex、~/.config或某个凭据文件通常是之前用sudo启动过工具导致配置文件归root所有。ls -la ~/.codex ls -ld ~/.codex发现所有者异常时可以修复sudo chown -R $(whoami) ~/.codex chmod 700 ~/.codex如果配置里包含 API Key文件权限不要给得太宽。一般目录700、敏感配置文件600就够了chmod 600 ~/.codex/config.json顺带一提如果团队里经常因为网络、Key 管理和调用稳定性折腾可以考虑把接口访问统一走 token云桥AI中转站 0029.org。我的经验是排查 Codex 这类问题时把“本地权限问题”和“接口访问问题”拆开会省很多时间。六、沙箱或工作区限制导致的拒绝有些 Codex 运行环境会限制可读写目录只允许操作当前工作区。典型情况是你让它改/etc、/usr/local、父级目录或者访问工作区外的文件就可能被拒绝。排查方式很简单把要处理的文件放到当前项目目录下再执行同样操作。mkdir -p ./tmp-work cp /outside/path/example.txt ./tmp-work/ ls -la ./tmp-work如果放进工作区后就正常说明不是文件系统权限而是运行策略限制。此时不要强行扩大权限优先调整任务路径让 Codex 只处理项目内文件。七、不要习惯性 sudo 运行 Codex很多人看到权限拒绝第一反应是加sudo。这通常会制造更多问题生成的文件属于root后续编辑器、Git、Codex 都可能继续报权限错误。除非你明确知道要操作系统级目录否则不要这样做sudo codex更推荐的做法是修复项目目录权限然后用普通用户运行sudo chown -R $(whoami) /path/to/my-project cd /path/to/my-project codex八、修复后的验证命令权限修完后不要只看 Codex 是否能启动最好做几项验证。1. 验证目录可写cd /path/to/my-project touch .write-test echo ok .write-test cat .write-test rm .write-test2. 验证脚本可执行ls -l build.sh ./build.sh --help如果脚本没有x权限ls -l会类似这样-rw-r--r-- 1 dev staff 1234 Jun 28 10:30 build.sh修复后应能看到-rwxr-xr-x 1 dev staff 1234 Jun 28 10:30 build.sh3. 验证 Git 状态有时文件权限修复后会让 Git 看到大量权限位变化。可以检查一下git status git diff --summary如果只是脚本执行权限变化需要确认是否应该提交如果是一堆无关文件变化先别急着提交检查是否误改了权限。九、避免后续复发不要在项目目录里混用sudo和普通用户操作。拉代码、安装依赖、运行 Codex 尽量使用同一个系统用户。脚本文件提交前确认执行权限尤其是gradlew、*.sh。敏感配置文件权限不要过宽避免为了省事直接chmod -R 777。在 Docker 或 WSL 中注意挂载目录的 UID/GID 映射。chmod -R 777看起来能快速解决问题但不建议作为常规方案。它会把目录暴露得过宽后续还可能引入安全和协作问题。正确做法是确认谁需要读写再给对应用户或用户组合适权限。总结Codex 的permission_denied大多可以按顺序排先看报错路径再查当前用户和目录所有者接着检查脚本执行位、配置目录权限以及沙箱范围。修复后用touch、脚本执行和git status做验证比盲目重装或直接sudo更稳。